ISMS-AC(情報マネジメントシステム認定センター)とは?
ISMS認証の取得に関わる方なら、「ISMS-AC(情報マネジメントシステム認定センター)」という名称を耳にしたことがあるかもしれません。本記事では、ISMS-ACの基本的な役割から、組織のISMSに与える影響やメリットまでを分かりやすく解説します。
ISMS-ACとは?
ISMS-ACとは、正式名称を「情報マネジメントシステム認定センター」といい、企業や組織が取得を目指すISMS認証を審査する審査機関を「認定」する役割を担っています。
ISMS認証を行う審査機関が第三者として公正かつ客観的に活動できるよう、基準を定めて認定を行っています。認定された審査機関は、ISMS-ACの定める基準に沿った審査を実施しているため、企業や組織はそ認定機関から監査を受けることでISMS認証を取得できるのです。
ISMS-ACの必要性とは?
ISMS認証は、企業や組織の情報セキュリティへの取り組みを対外的に証明する大切な制度です。その審査を行う機関を認定するISMS-ACが存在することで、審査機関の審査能力や公平性が担保され、企業や取引先が安心して認証取得に臨めるようになります。
もし認証機関の水準がバラバラであれば、せっかくISMS認証を取得しても評価のばらつきが生じ、認証自体への信頼が損なわれてしまうでしょう。
そこで、ISMS-ACが審査機関を厳しくチェックし、信頼できる機関だけを認定することで、ISMSの整合性と信頼を保つことができるのです。
JIPDECとISMS-ACの違い
JIPDECは、かつてISMS認証の認定を行っていました。しかし、認定機関としての独立性をより明確にするため、2017年にISMS-ACが設立され、ISMS認証の認定業務が移行されたという経緯があります。
現在のJIPDECはプライバシーマーク(Pマーク)の認定や電子署名に関する調査、標準企業コードの付与など、個人情報や電子情報の活用を支援する業務を主体としています。一方ISMS-ACは、ISMSやITSMS、BCMSなど、情報セキュリティや事業継続などに関わる認証機関の認定を専門に行っています。
つまり、JIPDECはプライバシー保護や情報経済社会推進に関わる幅広い業務を担当し、ISMS-ACはISMSをはじめとしたマネジメントシステムの認定業務に特化している点が両者の大きな違いです。
ISMS-AC認定の有無による審査機関のメリット
認証機関には、ISMS-ACの認定を持つ審査機関とISMS-ACの認定を持たない審査機関があります。ここからは、認定の有無によってどのようなメリットがあるかを見ていきましょう。
ISMS-ACの認定が「ある」審査機関のメリット
ISMS-ACの認定を受けている審査機関を選ぶことで得られるメリットは大きく、特に次の3つのポイントが挙げられます。企業や組織にとって、対外的なアピールや社内の運用プロセスをしっかり整えたい場合に、認定を受けた審査機関の利用が有効な手段となるでしょう。
信頼性のある審査を受けられる
ISMS-ACの認定を受けるためには、審査機関自体が厳しい基準をクリアしなければなりません。審査する担当者の力量や審査プロセスの適切さなど、多角的な条件を満たして初めて認定が下ります。つまり、ISMS-AC認定の審査機関は、公平性や客観性が高いと判断されているということです。
企業としては「しっかりとした審査を受けられる」という安心感を得られます。また、認証の信頼性や外部からの評価も得られやすく、情報セキュリティに真剣に取り組んでいる姿勢を対外的に示せるでしょう。
ISMSシンボルマークを利用できる
ISMS認証を取得している組織で、よく見かけるISMSの認定シンボルは、ISMS-AC認定が「ある」審査機関から認定を受けてはじめて使用が許可されます。
シンボルマークをホームページや名刺、パンフレットなどに掲載することで、「わが社はISMS認証をきちんと受けています」というアピールが可能です。取引先や顧客が目にすると、セキュリティ対策をしっかりと行っている企業であると認知してもらいやすくなるでしょう。
ISMS認証取得組織検索に掲載される
ISMS-ACの公式サイトでは、ISMS認証を取得している企業・組織を検索できる機能が用意されています。認定を受けた審査機関から認証を取得すると、検索サイトにも社名を掲載でき、社外に対して認証の事実を公に証明できるため、ビジネスパートナーや顧客からの安心感を得やすくなります。
仕事の内容によっては「ISMS認証を取得しているかどうか」が条件になるケースもあるため、新たなビジネスチャンスにつながる可能性もあるでしょう。
ISMS-ACの認定が「ない」審査機関のメリット
国内にはISMS審査を規制する法律が存在しないため、ISMS-ACの認定認定が「ない」審査機関でも、審査サービスの提供は可能です。認定がないからといって必ずしも問題があるわけではなく、企業によってはメリットとなる点もあります。
費用が安く、審査が短期間なところもある
ISMS-ACの認定が「ある」審査機関の場合、定められた基準に基づいて手厚く審査を行うため、場合によっては審査費用が高めになったり審査期間が長くなる傾向にあります。
一方、認定を受けていない審査機関は、比較的柔軟な審査が可能です。また、費用を抑えて短期間での審査を提供しているサービスもあるため、コスト・スピードを優先したい企業にとってはメリットになるでしょう。
海外の認定機関から認定を受けているところもある
ISMS-ACの認定が「ない」審査機関でも、信頼性の低い審査機関と決めつける事はできません。日本国内ではISMS-ACの認定が有名ですが、海外にも同様の認定機関が存在しています。
審査会社によっては、海外の認定機関から認定を受けている審査機関もあり、海外の認定機関からは認められている審査機関もあるため、一概に「認定がない=信頼度が低い」とは断定できません。グローバルにビジネスを展開する企業にとっては、海外の認定機関からの認証が逆に有利に働く場面も考えられます。
審査機関を選定するときには、その審査機関が、どの認定機関から認定を取得しているのかを確認するようにしましょう。
まとめ
ISMS-ACとは、ISMS認証を実施する審査機関を認定する日本の専門機関です。ISMS-AC認定が「ある」審査機関を利用すれば、信頼度の高い審査を受けられたり、ISMSのシンボルマークを活用できるといったメリットが得られます。一方で、ISMS-AC認定が「ない」審査機関でも、費用や審査期間の面で柔軟性があるケースや、海外の認定を持っているケースもあるため、一概に優劣を決められない部分もあるでしょう。
いずれにせよ、ISMSの認証取得には制度への正しい知識や理解が欠かせません。
自社のノウハウだけでは難しいと感じた場合、幅広い知識と経験を持つプロの力を借りるのも有効な手段です。組織のセキュリティレベル向上のためにも、自社の状況に合った形で確実にISMS認証を取得し、社内外の信頼を高めていきましょう。
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】
ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。
「まず取得したい」
なら
- 専任不要&月額3.3万円の低コスト
情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。 - 中小企業向けフルアウトソーシング支援
書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。 - 維持運用しやすい実務重視の設計
最小限の設計で、取得後も1名体制で継続しやすい。
柔軟に対応
してほしいなら
-
現役審査員が直接サポート&訪問無制限
複雑な多拠点対応も、現場に即した導入設計が可能。 -
業種特化・6か月以内の取得も相談可
業界特有の運用にも対応し、スピード重視の企業にもおすすめ。 -
ISO事務局も代行し全工程を一括支援
社内対応の手間を減らし、効率・品質を向上。
運用負担を削減
したいなら
-
書類作成の負担が少ない
提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。 -
取得時も取得後も運用の負担が少ない
負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。 -
取得後は自社で維持、運用が可能
必要最小限な運用が可能なため、自社だけでも準備が容易。