ISMS制度に関してはISMS-ACのWebページ「情報セキュリティマネジメントシステム(ISMS)適合性制度の概要」をご参照下さい。そこでは制度の目的が以下のように述べられています。

「情報セキュリティマネジメントシステム（ISMS）適合性評価制度は、国際的に整合性のとれた情報セキュリティマネジメントシステムに対する第三者適合性評価制度である。本制度は、わが国の情報セキュリティ全体の向上に貢献するとともに、諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的とする。」

• ISMS適合性評価制度の概要（外部サイト：ISMS-AC）別ウインドウで開く

ISMSは情報セキュリティマネジメントシステム（Information Security Management System）の略称で、“アイ エス エム エス”と呼ばれています。国際的にも共通の表現であり、ISO/IEC 27000ファミリーで使用されています。

国際規格「ISO/IEC 27001」は、ISO（International Organization for Standardization：国際標準化機構）が発行する国際規格であり、原文は英語です。これを日本国内での使用のために日本語に翻訳し、国内規格として発行したものが「JIS Q 27001」です。翻訳されたJIS Q 27001は、ISO規格と同じ内容であること（IDT：IDENTICAL）が認められています。それぞれの規格の正式名称は次の通りです。
■ISO/IEC 27001：2013 Information technology - Security techniques - Information security management systems – Requirements※
■JIS Q 27001：2014 情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項

※ISO/IEC 27001は、2022年に改正されました。現在の最新版は次になります。
■ISO/IEC 27001：2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements
対訳版は、(一財)日本規格協会より発行されています。
なお、JIS Q 27001の改訂版は、まだ発行されていません。

ISMS適合性評価制度では、認定機関であるISMS-ACによって認定された認証機関が、JIS Q 27001（ISO/IEC 27001）を認証基準として用いて組織を審査し、認証を行っています。本制度では、これをISMS認証とよびます。
この「ISMS認証」を指すものとして、「ISO/IEC 27001認証」「JIS Q 27001認証」があります。

認証基準の最新版は、ISO/IEC 27001:2022です。JIS規格は、現在(一財)日本規格協会で制定中であり、日本語の審査の場合には、JIS発行までは日本規格協会発行の対訳版を認証基準として用いることができます。なお、対訳版では英語が正式で日本語は参照用であり、正式な日本語版はJISとして制定された版になります。

ISO/IEC 27001認証やJIS Q 27001認証を求められているときに、ISMS認証を取得していることで条件を満たすことはできます。

認定機関に対する要求事項を定めたISO/IEC 17011：2017では、認定の対象となり得る機関（認定対象機関）として適合性評価機関（conformity assessment body：CAB）の用語を使用しています。現在のISMS制度では、適合性評価機関に該当するのは、認証機関及び要員認証機関※です。
※認証機関とは、マネジメントシステム認証などの審査・認証を行う機関です。要員認証機関とは、認証審査に関する能力をもつ審査員を認証、登録します。

公的な制度とは、国が決めて運用している制度と解釈すれば、ISMS適合性評価制度は公的な制度ではなく、民間の評価制度として運用されています。
 この制度の認定機関や認証機関に適用される規格は、QMS（ISO9001）の場合と同様、国際規格のISO/IEC 17011、及びISO/IEC 17021を採用していますので、国際的にも信頼される制度と言えます。

ISMS認証を取得するメリットは、ISMS-AC発行のパンフレット「ISMS適合性評価制度の概要」の「ISMS導入・ISMS認証取得の効果（メリット）」で説明されており、以下はその引用です。 なお、このパンフレットのPDF版はこちらよりダウンロードできます。

■ 内部的な効果（メリット）：
　－ 社員の情報セキュリティに関する意識向上につながる。
　－ 組織の情報セキュリティ管理体制、情報セキュリティ対策を強化できる。
　－ 経営者の情報セキュリティに対する関与が深まる。
　－ 組織の情報セキュリティレベルを向上し、期待レベルを維持できる。

■ 対外的な効果（メリット）：
　－ 顧客からの信頼確保につながる。
　－ 企業イメージの向上につながる。

情報セキュリティに関連する制度として、ISMS適合性評価制度、プライバシーマーク制度、情報セキュリティ監査制度などがあります。それぞれ目的や基準等が異なりますので、どの制度が厳しいかは一概に言えません。
なお、以下のWebページで「クラウドサービスに関連する国内外の制度・ガイドラインの紹介」を公開していますのでご参照ください。

• クラウドサービスに関連する国内外の制度・ガイドラインの紹介別ウインドウで開く

両制度の共通点としては、組織内のセキュリティ保護のインフラ整備や構成員への教育、（内部）監査、経営者レビューなどがあり、常にPDCAのマネジメントサイクルを回せれば、組織にとって有効な活動となります。以下に主な違いを説明します。
1）適用範囲
　プライバシーマーク制度：全社的な取組みが基本となります。
　ISMS制度：組織の必要に応じて、適用範囲を決定することができます。
2）保護の対象
　プライバシーマーク制度：組織が取扱う個人情報を特定し、個人情報の保護対策を実施します。
　ISMS制度：組織が保護すべき情報資産を識別し、セキュリティ対策を実施します。
3）管理範囲
　プライバシーマーク制度：個人情報の保護は、個人情報の安全管理策を実施するだけでなく、管理する個人情報について本人の権利に対応することも含まれます。即ち、情報取得時には事前に利用目的等を伝えた上で本人の同意をとることが必要であり、取得後も本人からの修正・削除などの要望に応じる等の必要があります。
　ISMS制度：基本的に、組織の事業活動全般及びリスク全般を考慮し、事業上の要求事項、法的又は規制要求事項に対するリスクアセスメントによりセキュリティ対策（管理策）を実施します。
4）規格と作成文書
　プライバシーマーク制度：JIS Q 15001 個人情報保護マネジメントシステム－要求事項に従って、組織が個人情報保護マネジメントシステム文書を作成します。
　ISMS制度：JIS Q 27001の要求事項に従い、組織のリスクアセスメントに基づいてISMS文書を作成します。
5）マネジメントシステム構築での配慮事項
　プライバシーマーク制度：個人情報の安全管理策を構築することに加えて、情報主体の権利に対する要求への管理策が必要となります。また、個人が対象となるために、苦情処理窓口を準備して対応するなど消費者保護の側面を考慮する必要があります。
　ISMS制度：組織の事業継続や、運用コストも配慮した総合的な観点でセキュリティ対策の取組みがされているかが重要なポイントとなります。

ISMS制度は、ISMS-ACによって認定された認証機関がISMS認証基準を基に組織のISMS認証を目的としたもので、監査を目的とした情報セキュリティ監査制度とは異なります。
情報セキュリティ監査制度については、以下のWebサイトを参照してください。

• 情報セキュリティ監査制度（外部サイト：経済産業省）別ウインドウで開く

ISMS認証は、国際認定フォーラム（IAF - International Accreditation Forum, Inc.）における国際相互承認協定（MLA：Multilateral Recognition Arrangement）の対象となっています。

IAFは、マネジメントシステム、製品、要員等の適合性評価活動に関わる認定機関、審査機関協議会、各国の産業団体等からなる国際組織です。
IAFの目的の一つは、世界的に整合性のとれた適合性評価プログラムを開発し、認定された認証の信頼性を保証することによって、組織・エンドユーザーのリスクを低減することです。
IAFの国際相互承認協定（MLA）に署名した認定機関によって認定された認証機関による認証は、IAFによってその信頼性を保証されます。
なお、2023年1月現在、IAFのISMS MLA加盟の認定機関は世界全体で約40機関に上ります。

日本のISMS認定機関であるISMS-ACも、2006年にアジア太平洋地域におけるIAFの下部組織であるPAC（現APAC）に、2007年には認定機関メンバーとしてIAFに加盟するとともに、その後新たに発足したISMSのMLAに署名しています。ISMS-ACによって認定を受けたISMS認証機関は、次のWebページを参照してください。
ISMS-ACは、日本の法律・習慣・業界固有の背景等を踏まえたうえで、日本国内で活動するISMS認証機関が認定の要求事項に則した認証審査を実施しているかについて、適度な頻度で認定審査を行い、認証の信頼性確保に努めています。

• ISMS認証機関一覧（外部サイト：ISMS-AC）別ウインドウで開く

Ａ．JIPDECがホームページで公開している、又は冊子版を作成しているISMS認証に関わる参考文書は以下の通りです。（2018年5月現在）
　①ISMSユーザーズガイド－JIS Q 27001対応－
　②ISMSユーザーズガイド－リスクマネジメント編－
　③ISMSユーザーズガイド追補～クラウドを含む新たなリスクへの対応～
　④外部委託におけるISMS適合性評価制度の活用方法
　⑤地方公共団体と情報セキュリティ～ ISMSへの第1歩 ～
　⑥クラウドサービスに関連する国内外の制度・ガイドラインの紹介
　⑦将来の脅威に対応できるISMS構築のエッセンス　～クラウドセキュリティに役立つISO規格～


上記のユーザーズガイド・ハンドブック類は、以下より入手できます。

• ISMS認証に関するガイド類別ウインドウで開く

Ａ．JIPDECでは、ISMS制度の普及活動として毎年説明会を実施してきました。新たに開催が決まりましたらホームページの最新トピックスにて案内します。また過去の開催については、以下のページをご参照下さい。

• 説明会・セミナー等
  別ウインドウで開く