中小企業が取得できる情報セキュリティ関連の認定について

中小企業における情報セキュリティの取り組みには費用が掛かりますが、その効果がわかりにくです。

このため、本業に比べるとあまり本気で取り組むことが難しいと思います。

しかし、昨今は情報セキュリティの事件・事故が頻発しています。

取引先や顧客の大切な情報を紛失・漏えいしたことにより、賠償金や事業停止などの事態に陥る中小企業もあります。

原因が取引先に起因することもあり、取引先の選定において情報セキュリティ対策は大丈夫であるかを確認する企業が増えています。

とはいえ、自社が取引先だとすると「大丈夫です！」と口だけで伝えてもなかなか伝わらないし、理解もされないと思います。

そんな時は、第３者である専門機関等の認定を取得することをお勧めします。

情報セキュリティに取り組んでいる企業を認定する制度が多くあるので、今回は代表的なものを紹介します。

中小企業向けにIPAが実施している制度です。

厳密には宣言であり認定ではないです。

メリットは申請すればすぐに認められ会社のホームページやパンフレットなどに掲載することができます。

レベルとして「一つ星」と「二つ星」があり、「一つ星」はセキュリティに関する５つの対策に取り組むことを宣言するだけです。

「二つ星」はセキュリティに対する取り組みを社外へ宣言する必要があるので、ハードルは上がりますが、頑張れば１～２ヶ月程度で対応できます。

各種公的な補助金・助成金の申請条件となっているケースが多いことから、セキュリティに取り組んでいる中小企業の方は早めに申請下さい。

企業におけるDX（デジタルエクスチェンジ）の取り組みを公的に認定する制度です。

情報セキュリティに関しては、推進体制としてセキュリティの専門家がある一定数在籍していることが評価要件となっています。

DXの推進には情報セキュリティが必須となることから、情報セキュリティに関するアピールにも使えると思います。

日本産業規格JIS-Q15001「個人情報保護マネジメントシステム」の要求事項に準拠している事業者を評価して認定を付与する制度です。

情報セキュリティとしても、個人情報の保護は重要です。

個人情報保護法などの社会的な要請を背景に、認定の付与事業者は増加し現在では16,480社（※2020/11/29時点）とかなりの数になっています。

審査機関や研修機関、審査員など、制度として確立しており、社会的な信用も高い制度です。

認定の付与にはそれなりの対応が必要となるので、SECURYTY ACTIONなどを宣言した後のレベルアップとして最適です。

日本産業規格JIS-Q27001「情報セキュリティマネジメントシステム」の要求事項に準拠している事業者を評価して認定を付与する制度です。

基本的な立て付けはプライバシーマーク制度と良く似ています。

ただし、取得に必要となる対応日数などは情報セキュリティマネジメントシステム認定の方が長く、要求の数なども多くなります。

維持などにもそれなりのコストがかかるため、大企業でも取得は限定的です。

プライバシーマーク制度とは異なり、企業の１部署などの単位でも認定を取得できます。