POQA magazinePOQAがお届けするITお役立ち情報
日本は従来、ITセキュリティに関する関心が、世界と比較して低い水準にありました。
IPAの「情報セキュリティに対する意識調査」では、「自分の組織は大丈夫と思っている層」が多い、という結果が出ています。
が、ランサムウェア攻撃など外部の脅威が増え、日本の企業組織は、情報セキュリティに対する意識の転換点に立っています。
そして、「自組織は正しくセキュリティ対策をしているのだ!」というアピールをする方法として、「第三者認証」が選択されるようになってきました。
今回の記事では、
・情報セキュリティにおける第三者認証とは?
・日本国内で利用できる第三者認証にどのようなものがあるか?
等をご紹介してまいります。
なぜ今第三者認証がアツいのか?
情報セキュリティにおける第三者認証とは、「会社が情報を適切に管理するためのルールや体制を整えているかを、社外の中立的な機関が確認し、認める仕組み」をさします。
会社内でどう管理しているかは、本来は社内の話です。ではなぜ、第三者の証明を求めるようになったのでしょうか。
背景と理由をご説明します。
背景:企業同士の取引が、紙や対面せず、データが連携するようになった。
多くの企業が、見積や発注、請求などの情報を共有連携するようになりました。
場合によっては、紙などの物理的な手法でなく、インターネットを通じてデータをやり取りすることもあります。
そのようなケースであれば、ひとつの企業の事故が、他の企業に影響しかねません。
理由:すべての対応を、すべて公開するわけにはいかない
情報を正しく管理しているとしても、管理方法をすべて説明するのには手間がかかります。
また、管理方法を公開・明示することは、セキュリティ管理方法を公開するということで、それそのものがリスクです。
そのため、「第三者認証を取得して、取得の事実を公開する」という方法が、主流になりつつあるのです。
ちなみに、主だった第三者認証を取得している場合、「関係会社が、正しくセキュリティ管理をしているのかを確認しているか?」という項目があります。
つまり「相手先企業が、正しいセキュリティ管理をしているのか確認する」というのは、ビジネスにおいてスタンダードになりつつある、ということです。
第三者認証はそもそも何を確認しているのか
第三者認証というと、「難しい仕組みを入れる」「高度なセキュリティツールを導入しなければならない」などの印象を持たれる方もいるかもしれません。
しかし、多くの認証が見ているのは、特別な技術よりも「考え方」や「取り組み方」「組織の体制」です。
基本となる考え方は、とてもシンプルです。
- 大切な情報を把握しているか
= 何を守るのか - 事故が起きにくい決まりや手順があるか
= どう守るのか - 問題が起きたときに、どう対応するか決めているか
= 守れなかったときにどうするのか
= 守るために継続的な活動をしているのか
第三者認証は「会社の姿勢」を見る仕組みとも言えます。
ここで注意したいのは、IT企業向けの認証と、非IT企業向けの認証が必ずしも同じではない点です。
システムを作る会社と、業務で使う会社では、求められる内容が異なります。
非IT企業向けの認証では、「難しい操作ができるか」よりも、「社内で無理なく続けられるか」が重視される傾向があります。
日本国内の非IT企業が対象の「情報セキュリティ関連の第三者認証」
それではここから、非IT企業向けに考えうる第三者認証を簡単にご説明してまいります。
| 認証名 | 認証組織 | 特徴 | 対象業種他 |
|---|---|---|---|
| プライバシーマーク (Pマーク) | 一般財団法人日本情報経済社会推進協会 | 日本国内向け 個人情報の取り扱い体制に特化。 そのため、ITインフラやツール自体の管理についてはあまり詳細に問われない。 非IT企業での取得実績が非常に多い。 | 個人情報を扱うすべての業種。 人材、士業、医療関連、教育、製造、サービス業 |
| ISMS(ISO/IEC 27001) | 国際標準化機構(ISO)が定めた規格。 ISOから認定された民間の認証機関が認証を行う。 | 国際規格。 個人情報に限らず、業務データ全般が対象。 取引条件として求められるケースが多い。 | 製造業、物流、金融、士業、外注管理がある企業 |
| SECURITY ACTION(一つ星・二つ星) | 独立行政法人情報処理推進機構 | ★による段階評価。 IPAによる自己宣言型制度(※第三者“認証”ではないが、実務上よく並べて扱われる) 公的制度として認知度が高い 今後の制度(SCS評価制度)の土台 | ★を宣言した組織は、IPAのサイトにて一覧発表される。 |
| サプライチェーン向けセキュリティ認証 | 経済産業省主導 | 取引先説明の「最低限ライン」 サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度) | 2026年春現在準備中 |
認証の選び方
選ぶ際に、あらかじめ知っておきたいポイントがあります
- 自組織・取引先の業界にふさわしいか?
個人情報を多く扱うのか、業務データが中心なのかによって、適した認証は変わります。
また、主だった取引先と同一の認証を取得すれば、説明の手間が省けるでしょう。 - 「全部に対応できる万能な認証」はない
1つの認証がすべてを網羅することはできません。
必要に応じて、複数の認証を取得しましょう。 - 取得後の負担を考える
多くの認証は、取ったら終わりではなく、定期的な確認や見直しが前提です。
無理な運用を選ぶと、形だけがのこり、継続して続けることが困難になります。
多くの第三者認証は、定期的な確認を設定しています。
「無理なく半永久的に続けられるのか?」は、導入前に必ず確認しましょう。
さいごに
現代社会で、情報を扱わない組織はあり得ません。
各組織にあった適切な情報管理が必要ですが、管理体制について問い合わせがあるたびに、内容を子細に説明することはできません
これを機会に、まだ認証を取得していない組織の皆さんは取得検討を、すでに取得している組織の皆さんは、その認証が現状の組織の形態や今後の経営方針にふさわしいか、改めてご確認ください。
