- 作成日 : 2025年7月7日
ISMSの種類とは?ISO27001:2022から関連規格、ISMAPまで初心者向けに徹底解説
情報セキュリティ対策の重要性が増す中、「ISMS」という言葉を耳にする機会も増えたのではないでしょうか?ISMSにはさまざまな種類の規格があり、どれが自社に必要なのか迷うこともあるかもしれません。
この記事では、ISMSの基本的な考え方から、最も代表的な国際規格ISO/IEC 27001:2022、クラウドやプライバシーに関連する規格群、そして日本独自の制度ISMAPまで、それぞれの特徴と選び方を分かりやすく解説します。最適なセキュリティ体制構築への第一歩として、ぜひご一読ください。
目次
ISMS(情報セキュリティマネジメントシステム)とは
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、特定の規格に基づいて、組織が持つ情報資産のリスクを特定・評価し、適切な管理策を計画・実行・点検・改善していくための枠組みです。単なる技術的な対策だけでなく、組織のルール、物理的な対策、人的な管理体制などを含めた総合的なアプローチを取ります。
ISMSの主な目的は以下の3点です。
- 機密性(Confidentiality):認可されていない人やプロセスが情報にアクセスできないようにすること
- 完全性(Integrity):情報が正確であり、改ざんされていない状態を保つこと
- 可用性(Availability):認可された利用者が、必要な時に情報や関連資産にアクセスできる状態を保つこと
これら「情報セキュリティのCIA」と呼ばれる三要素をバランス良く維持・管理することが、ISMSの核となります。
ISMSを構築・運用するメリット
ISMSを導入し、適切に運用することには、主に以下のようなメリットがあります。
- セキュリティレベルの向上
組織全体で統一されたルールに基づき対策を行うため、網羅的かつ効果的なセキュリティ強化が期待できます。 - リスクの低減
情報漏洩やサイバー攻撃などのリスクを事前に特定し、対策を講じることで、インシデント発生の可能性や被害を最小限に抑えられます。 - 社会的信用の獲得
特に後述する「ISMS認証」を取得することで、取引先や顧客に対して、情報セキュリティ体制が整っていることを客観的に証明でき、信頼向上につながります。 - 法令遵守(コンプライアンス)
個人情報保護法など、関連法規への対応がしやすくなります。 - 業務効率の改善
情報管理プロセスが明確化され、従業員のセキュリティ意識も向上するため、結果的に業務効率が改善されることもあります。 - 事業継続性の確保
セキュリティインシデント発生時にも、事業への影響を最小限に抑え、早期復旧を可能にする体制を構築できます。
ISMSの種類
ISMSの種類とは、多くの場合、ISMSを構築・認証するための具体的な規格(スタンダード)を指します。その中でも最も代表的で、国際規格となっているのがISO/IEC 27001です。
ISO/IEC 27001
ISO/IEC 27001は、ISMSの要求事項を定めた国際規格です。組織がISMSを構築し、運用し、維持し、継続的に改善するための具体的な要件(何をすべきか)を定義しています。
この規格に基づいてISMSを構築し、第三者の認証機関による審査に合格すると、「ISMS認証(ISO/IEC 27001認証)」を取得できます。これは、組織の情報セキュリティ管理体制が国際基準を満たしていることの証明となります。
主な特徴は、以下の通りです。
- ISMSの構築・認証に関する要求事項を規定
- 特定の技術や製品に依存しない、汎用的なフレームワークを提供
- リスクアセスメントに基づき、組織の状況に合った管理策を選択・適用するリスクベースアプローチを採用
- Plan(計画)、Do(実行)、Check(点検)、Act(改善)のPDCAサイクルによる継続的な改善を要求
多くの企業が「ISMS認証を取得する」と言う場合、このISO/IEC 27001に基づく認証を指します。
ISO/IEC 27002
ISO/IEC 27001と密接に関連するのがISO/IEC 27002です。これは、ISO/IEC 27001の附属書Aにリストアップされている情報セキュリティ管理策について、それぞれの実施の手引き(ガイドライン)を提供する規格です。
ISO/IEC 27001が「何をすべきか(要求事項)」を定めるのに対し、ISO/IEC 27002は「どのように実施するか(実践的な指針)」を示します。ISO/IEC 27001で要求される管理策を具体的に検討・導入する際に参照されます。ただし、ISO/IEC 27002自体は認証規格ではありません。
ISO 27000ファミリー
ISO/IEC 27001や27002は、「ISO 27000ファミリー」と呼ばれる一連の規格群の一部です。このファミリーには、ISMSの特定の側面や分野に特化した、さまざまな規格が含まれています。これらを広義の「ISMSの種類」と捉えることもできます。
ISO/IEC 27000
ISO 27000ファミリー全体の概要、基本原則、そして重要な用語の定義を提供します。ファミリー規格を理解するための入門書のような位置づけです。
ISO/IEC 27017
クラウドサービスの利用が拡大する中で重要性を増しているのが、ISO/IEC 27017です。これは、クラウドサービスに関する情報セキュリティ管理策のガイドラインを提供する規格です。
ISO/IEC 27002の管理策をベースに、仮想環境の分離、利用者と提供者との責任の分担といったクラウド環境特有のリスクに対応するための追加の管理策や実施の手引きを示しています。クラウドサービス提供者(CSP)と利用者(CSC)双方にとって有用な規格です。
ISO/IEC 27001認証に追加する形で、ISO/IEC 27017に基づく管理策が実施されていることを示す認証(ISMSクラウドセキュリティ認証)もあります。
ISO/IEC 27018
ISO/IEC 27018は、パブリッククラウド環境における個人情報(PII:Personally Identifiable Information)の保護に特化した実践規範です。
クラウドサービス提供者が、顧客(個人情報管理者)から預かった個人情報を処理する際の行動規範を定めています。例えば、同意なしに個人情報を広告目的で利用しないこと、データの所在地の透明性を確保することなどが挙げられます。GDPR(General Data Protection Regulation、一般データ保護規則)など各国のプライバシー法規制への対応を支援する側面もあります。
ISO/IEC 27701
ISO/IEC 27701は、ISMS(ISO/IEC 27001)をプライバシー保護の観点から拡張するための要求事項とガイドラインを定めた規格です。「PIMS(Privacy Information Management System)」とも呼ばれます。
ISO/IEC 27001の枠組みを利用して、PII(Privacy Identifiable Information)の管理体制を構築・運用する方法を示します。GDPRなどのプライバシー法規制への準拠を示す手段としても注目されています。ISO/IEC 27001認証のアドオン(追加)規格として認証を受けることが可能です。
その他の関連規格
上記以外にも、ISO 27000ファミリーには以下のような規格が存在します。
- ISO/IEC 27003:ISMS導入ガイダンス
- ISO/IEC 27004:情報セキュリティ測定
- ISO/IEC 27005:情報セキュリティリスクマネジメントに関連する指針
- ISO/IEC 27035:セキュリティインシデント管理
これらは、ISMSの特定のプロセスや活動をより深く掘り下げて実施する際に役立ちます。
日本独自の制度 ISMAP(イスマップ)
国際規格とは別に、日本政府が定めた制度としてISMAP(イスマップ:Information system Security Management and Assessment Program)があります。これは、政府機関などが利用するクラウドサービスのセキュリティレベルを評価・登録する制度です。
ISMAPとISMS(ISO/IEC 27001)の関係
ISMAPの要求事項は、ISO/IEC 27001やISO/IEC 27017などをベースに、政府機関向けに詳細かつ具体的な管理策を追加・強化した内容となっています。
ISMAPの登録を目指すクラウドサービス事業者は、多くの場合、ISO/IEC 27001やISO/IEC 27017の認証を取得していることが前提、あるいは並行して取得を進めることが一般的です。ISMAPは、ISMSの枠組みを基礎としつつ、より高度で具体的なセキュリティ統制(ガバナンス、マネジメント、管理策)を要求する制度と言えます。
ISMSの種類の選び方
ISMSにはさまざまな規格や制度が存在するため、どれに取り組むべきか迷うかもしれません。選定にあたっては、以下の点を考慮しましょう。
1. 組織の目的とニーズ
- 基本的な情報セキュリティ体制を構築したい、取引先からの要求がある
→ まずはISO/IEC 27001:2022の取得を目指すのが一般的です。 - クラウドサービスを多く利用している、または提供している
→ ISO/IEC 27001に加えて、ISO/IEC 27017(ISMSクラウドセキュリティ認証)の取得を検討します。 - 個人情報を多く取り扱う、プライバシー保護を強化したい
→ ISO/IEC 27001に加えて、ISO/IEC 27701(PIMS)の導入・認証を検討します。クラウド上で個人情報を扱う場合は、ISO/IEC 27018の原則も参考にします。 - 政府機関へのクラウドサービス提供を目指している
→ ISMAPへの登録が必須となります。
2. 事業内容や業界の特性
特定の業界(金融、医療など)では、ISO/IEC 27001に加えて、業界固有のセキュリティガイドラインや規制が存在する場合があります。
3. 予算やリソース
各規格への対応には、体制構築、文書作成、審査費用、運用維持などのコストと人的リソースが必要です。組織の規模や体力に合わせて、段階的に取り組むことも検討しましょう。
まずは中心となるISO/IEC 27001に取り組み、その上で必要に応じて関連規格(27017、 27701など)やISMAPへとステップアップしていくのが現実的な進め方と言えるでしょう。
自社に合ったISMSの種類を選びましょう
本記事では、ISMSの基本から中心となる国際規格ISO 27001、ISO 27000ファミリー(クラウドセキュリティの27017、プライバシー保護の27701など)、そして国内制度ISMAPまで、さまざまなISMSの種類と自社に合った規格の選び方を解説しました。
適切なISMSを構築・運用することは、セキュリティレベルの向上と社会的信用の獲得に不可欠です。一度構築したら終わりではなく、継続的な改善が重要となります。
この記事をお読みの方におすすめのガイド4選
最後に、この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。
やることリスト付き!内部統制構築ガイド
内部統制を基礎から知りたい方・内部統制の導入を検討している担当の方・形式だけになっている内部統制を見直したい方におすすめの人気ガイドです。
内部統制の基本と内部統制構築のポイントをギュッとまとめています。
ストック・オプション丸わかりガイド!
ストック・オプションの概要や種類、IPO準備企業がストック・オプションを利用するメリットに加え、令和5年度税制改正の内容についても解説した充実のガイドです。
IPOを検討している企業様はもちろん、ストック・オプションについて学習をしたい企業様も含め、多くの方にご活用いただいております。
J-SOX 3点セット攻略ガイド
すべての上場企業が対象となるJ-SOX(内部統制報告制度)。
本資料では、IPO準備などでこれからはじめてJ-SOXに対応する企業向けにJ-SOXの基本からその対応方法までをまとめた、役立つガイドです。
マネーフォワード クラウド会計Plus サービス資料
マネーフォワード クラウド会計Plusは、IPO準備・中堅〜上場企業向けの業務効率化と内部統制強化を実現するクラウド会計ソフトです。
銀行やクレジットカード連携で取引データを自動取得、AIによる自動仕訳で会計業務を効率化。周辺システムと連携することで、二重入力や確認工数を削減します。また、仕訳承認機能やユーザーごとの権限・ログ管理機能を搭載しており、内部統制にも対応。SOC報告書も提供しています。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
会社法における内部統制とは?対象企業や罰則規定・裁判例を紹介
内部統制とは、企業の不正などを未然に防ぎ、業務の適正を確保する社内体制をいいます。同じ内部体制という言葉でも、会社法と金融商品取引法での意味が違うため注意しなければなりません。 本記事では内部統制をおこなう目的や内部統制を構成する要素、内部…
詳しくみる内部通報制度の問題点とは?主な課題と改善策を解説
内部通報制度(公益通報制度)は、企業内の不正行為を従業員が匿名または記名で通報できる仕組みです。日本では2006年の公益通報者保護法施行以降、多くの企業がこの制度を導入し、2022年改正法で従業員301人以上の事業者には制度整備が義務化され…
詳しくみる内部統制を実施する際のチェックリストを一挙紹介|成功させるポイントも
コンプライアンスなど、会社を見る世間の目は以前にも増して厳しくなってきています。そのためにも内部統制を整えることが必要です。内部統制を実施するには4つの目的と6つの基本的要素があり、それらが達成できているかを確認していく必要があります。 本…
詳しくみる内部通報制度の改正動向まとめ|制度構築のポイントや注意点も解説
近年、企業のガバナンスやコンプライアンス体制の強化が求められる中で、「内部通報制度」の重要性が一層高まっています。公益通報者保護法の改正により、企業には通報体制の整備が義務付けられ、通報者の保護範囲も広がりました。さらに2025年には、公益…
詳しくみる上場企業における関連会社とは?上場審査の項目や整理する時期・方法を説明
自社の上場を予定している場合、関連会社の取り扱いに困ることがあるかもしれません。状況によっては、関連会社が上場審査に悪い影響を与える可能性があるためです。 この記事では、関連会社の定義や子会社との違い、関連会社がある場合の上場審査項目、関連…
詳しくみるISMSのPDCAサイクルを回す方法は?メリットや注意点も分かりやすく解説
情報セキュリティ対策の重要性が叫ばれる昨今、「ISMS」や「ISO 27001」といった言葉を耳にする機会が増えました。これらは組織が情報資産を守り、継続的にセキュリティレベルを向上させるための仕組み(情報セキュリティマネジメントシステム)…
詳しくみる