プランニングAはISO27001の認証を取得しています。この認証取得は、ISOという国際基準の規格に沿って、会社の仕組みを構築・運用し、そのことを第三者機関の審査によって証明されているものです。

プランニングA 認証取得宣言

ISO基本方針

ISO規格の種類

最初に、ISOの種類についていくつか紹介します。

ISO規格には、工業製品・技術・食品安全・農業・医療など、あらゆる分野の種類があります。

組織の活動・事業内容によってどの規格を運用するか変わってきます。最も多く見かけるのはISO9001（品質マネジメントシステム）とISO14001（環境マネジメントシステム）の2つでしょう。

● ISO 9001：品質マネジメントシステム規格

顧客満足度の向上を目的に、良質な製品やサービスを提供できるよう、継続的な改善を図る

● ISO 14001：環境マネジメントシステム

組織活動が環境に与える負荷を軽減することで、サステナビリティに貢献する

● ISO 22000：食品安全マネジメントシステム規格

安心して食べられる食品を提供するため、食品業界に特化した規格

…etc

ISO27001とPマークの違い

弊社が取得しているISO27001は、情報の管理や保守に関する規格で、別名「情報セキュリティマネジメントシステム」、Information Security Management Systemsの頭文字を取って「ISMS（アイエスエムエス）」とも呼ばれています。

情報漏えいを防ぐことを第一の目的としているISO27001ですが、Pマーク（プライバシーマーク）とは何が違うのでしょう？

適用する規格や更新期間などに違いがありますが、最も大きな違いは「対象の範囲」にあります。Pマークが個人情報の保護に特化しているのに対し、ISO27001は個人情報を含む情報資産全般を対象としています。

私たちプランニングAが定めた規定では、お客様から頂いた情報、弊社で作成した広告データ、メールのやりとり、不要になったプリント出力の廃棄処分の方法まで、その他会社にあるすべての情報を管理する体制を整えています。

ISO27001とPマーク、どちらを取得した方がいいのかというと、個人情報を多く扱うBtoCのサービス企業はPマーク、システム開発や運用を行うITシステム業はISO27001の取得が多いといわれています。

情報セキュリティの三大要件

ISO規格では「機密性・完全性・可用性」を保持できる仕組みを要求しています。

① 機密性：情報が漏えい・暴露を受けないように管理をすること

　→具体的な対策例　不正アクセス防止、施錠管理など

② 完全性：情報が正確で最新の状態を維持すること

　→具体的な対策例　改ざんの防止、人的ミスの防止、データ破損・損失の防止など

③ 可用性：許可された人であれば必要な時にデータが使える状態を維持すること

　→具体的な対策例　サーバーの管理、バックアップ設定など

つまり、「見てはいけない人が見られない状態（機密性）、正確でちゃんとした状態（完全性）、見ても良い人が見られる状態（可用性）」を維持しなければいけません。

機密性だけに偏ったルール構築をしてしまうと、業務効率が低下してしまったり、可用性だけに偏ってしまうと業務効率は良くなるかもしれませんが、情報漏えいのリスクが非常に高い状態となってしまいます。

この三大要件をバランス良く対応することで、組織にあった仕組みが構築されます。

審査では何がチェックされるの？

ISOはいったん取得してしまえばそれで終わり、というわけではありません。

情報資産とそのリスクの見直し、社員教育、日々の運用管理、内部監査…これらの活動を文書化していきます。

また、機関による審査は毎年行われ、作成した文書と現場検証をしながら、システムが継続的に運用されていること、しっかりとPDCAサイクルを回して、システムが有効に機能しているかチェックされます。

ISOでは「現時点でどの程度のレベルかどうか」よりも「継続的な改善が見込める仕組みか」が重視されます。

“「おいしいカレーが作れるか」ということよりも「よりおいしいカレーを作るための体制が整っているか」が重要。”　そんなふうに例えられています。

最後に

For example毎年のことながら審査前に分厚い文書と格闘して、それも早11年。少しずつISO27001の理解が深まってきましたが、現状に満足することなく、絶えず見直しと改善を繰り返し、常に発展し続ける、組織・自分自身でありたいと思います。