情報セキュリティマネジメントシステム(ISMS)適合性評価制度の概要

情報セキュリティマネジメントシステム（ISMS）適合性評価制度は、国際的に整合性のとれた情報セキュリティマネジメントシステムに対する第三者適合性評価制度である。本制度は、わが国の情報セキュリティ全体の向上に貢献するとともに、諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的とする。

ISMSの認証基準JIS Q 27001：2014（ISO/IEC 27001：2013）は、ISMS適合性評価制度において、第三者である認証機関が本制度の認証を希望する組織の適合性を評価するための基準である。

・JIS Q 27001:2014 情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項
（ISO/IEC 27001:2013 Information technology －Security techniques－Information security management systems－Requirements）
　－組織がISMSを構築するための要求事項をまとめた国際規格である。

※ JIS Q 27001は、ISO/IEC 27001の制定発行に伴って、日本工業標準調査会（JISC）により日本工業規格（JIS）として制定された国内規格であり、内容は、ISO/IEC 27001を忠実に日本語に翻訳し、国際規格との整合性が厳密に保たれている。
2006年3月にJIS Q 27001:2006（第1版）発行後、ISO/IEC27001:2005の改訂に伴いJISも改訂が行われ、2014年3月にJIS Q 27001:2014（第2版）が発行された。

ISMS適合性評価制度は、組織が構築したISMSがJIS Q 27001（ISO/IEC 27001）に適合しているか審査し登録する「認証機関」、審査員の資格を付与する「要員認証機関」、及びこれら各機関がその業務を行う能力を備えているかをみる「認定機関」からなる総合的な仕組みである。なお、審査員になるために必要な研修を実施する「審査員研修機関」は要員認証機関が承認する。

我が国では情報処理サービス業のコンピュータシステムが十分な安全対策を実施しているかどうかを認定する制度として、昭和56年7月20日通商産業省告示342号による「情報システム安全対策実施事業所認定制度」（以下、安対制度という）があった。安対制度では、集中管理されていた情報システムの施設・設備等の物理的な対策に比較的重点がおかれていたが、技術的対策だけでなく人的セキュリティ対策を含む組織全体のマネジメントを確立する必要性がでてきた。
　こうした状況を受けて、経済産業省では「情報セキュリティ管理に関する国際的なスタンダードの導入および情報処理サービス業情報システム安全対策実施事業所認定制度の改革（平成12年7月31日）」を公表するとともに、従来の安対制度を平成13年3月31日をもって廃止することを決定した。
　この安対制度の廃止に伴い、技術的なセキュリティのほかに、人間系の運用・管理面をバランス良く取り込み、時代のニーズに合わせた新しい制度として、情報セキュリティマネジメントシステム（Information Security Management System：以下、ISMSという）適合性評価制度を創設することとなった。ISMS適合性評価制度は、わが国全体の情報セキュリティ強化のため、また安対制度廃止後の受け皿として、2002年4月から本格運用を開始した。

●参考資料：
　 ISMS適合性評価制度の概要（パンフレット）
　　ISMSやISMSに関する認定・認証（「ISMS認証を受けるには～申請から認証取得までの流れ～」他）について説明しています。