システム開発を外注する際、多くの担当者がセキュリティ面の確認で悩まれます。候補会社から提案書を受け取ったとき、「ISMS認証取得済み」という記載を見ても、それが何を意味するのか、本当に自社の情報を守ってくれるのかが判断できないケースが少なくありません。
特に、顧客データや機密情報を扱うシステムを外注する場合、外注先の情報管理の甘さが自社全体のセキュリティリスクになることがあります。情報漏えいが起きた後では取り返しがつかないため、「後から気づく」では遅すぎます。
本記事では、ISMS認証(ISO27001)の基本的な意味から、認証を取得したシステム開発会社に発注することの具体的な5つのメリット、そして実際に外注先のISMS認証状況を確認する実務的な手順まで解説します。
読み終えた後には、ISMS認証を外注先選定の評価基準として活用できる状態を目指しています。
システム開発 完全チェックリスト――発注前・発注中・完了後の3フェーズで使えるチェック集
この資料でわかること
システム開発の外注・発注を初めて経験する担当者や、過去に失敗を経験した担当者が、発注プロセスの各フェーズで「何をチェックすべきか」を明確に把握できるようにする。
こんな方におすすめです
- 初めてシステム開発を外注する担当者
- 過去の発注で失敗を経験した方
- ベンダー選定の基準が分からない方
入力いただいたメールアドレスにPDFをお送りします。
ISMS認証(ISO27001)とは何か
まず前提として、ISMS認証とISO27001の関係を整理します。混同されやすい用語ですが、両者は「規格(ルールブック)」と「そのルールに準拠した仕組み」の違いです。
ISMSとは「情報を守る仕組み」のこと
ISMS(Information Security Management System)とは、日本語で「情報セキュリティマネジメントシステム」と訳されます。企業が保有する情報資産を体系的に守るための、管理体制・手順・ルールの総体を指します。
情報資産には、顧客の個人情報や購買履歴だけでなく、社内の設計書・契約書・システムコード・ネットワーク設定情報なども含まれます。これらを守るために、「誰がどの情報にアクセスできるか」「情報をどう保管・廃棄するか」「インシデント発生時にどう対応するか」といったプロセスを組織全体で整備・運用するのがISMSです。
ISO27001はISMSの「国際基準」
ISO27001は、ISMSをどのように構築・運用すべきかを定めた国際規格です。国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で策定したものであり、正式名称は「ISO/IEC 27001」です。
ISO27001に準拠したISMSを構築・運用し、第三者の認証機関による審査に合格した組織が「ISMS認証(ISO27001認証)取得企業」と呼ばれます。つまり、ISMS認証は「自社でセキュリティに取り組んでいます」という自己申告ではなく、第三者機関が「基準を満たしている」と認めた客観的な証明です。
ISMSが守る3つの要素
ISO27001では、情報セキュリティを以下の3つの要素で定義しています。
要素 | 意味 | 対策の例 |
|---|---|---|
機密性 | 許可された人だけが情報にアクセスできること | アクセス権管理、パスワードポリシー |
完全性 | 情報が正確かつ改ざんされていないこと | ハッシュ値による改ざん検知、バックアップ |
可用性 | 必要なときに情報へアクセスできること | 冗長化、障害対応手順の整備 |
この3要素をバランスよく維持するための管理策を、組織全体で体系的に運用することがISMSの本質です。
なぜシステム開発の外注にISMS認証が重要なのか
「社内のセキュリティ対策は十分にしている」という企業でも、外注先の情報管理に無頓着だと、そこが情報漏えいの起点になることがあります。
開発プロジェクトで扱われる機密情報の種類
システム開発を外注する際、発注企業から開発会社に渡す情報は多岐にわたります。
- 要件定義書・仕様書: 自社のビジネスプロセス・業務ロジックが詳細に記載
- 既存システムのソースコード・設計書: システム構成の全体像が分かる機密情報
- 顧客データのサンプル・テストデータ: 実際の個人情報が含まれるケースがある
- 社内インフラの構成情報: ネットワーク図・サーバー構成など、攻撃者に悪用される可能性がある情報
これらはすべて、外部に漏えいすれば自社のビジネスや顧客に直接的な損害を与える情報です。
外注先を起点とした情報漏えいの実態
東京商工リサーチの調査によると、2024年の上場企業における個人情報漏えい・紛失事故は189件で過去最多を記録しました(東京商工リサーチ, 2025年1月)。特に注目すべきは、業務委託先・外注先を起点とした「二次被害」が顕在化している点です。
外注先がサイバー攻撃を受けたことで、発注企業の顧客情報が流出するというケースが増えており、自社のセキュリティ対策だけでは防ぎきれないリスクが存在します。
発注企業が負う委託先管理義務
個人情報保護法では、個人データの取り扱いを外部に委託する場合、委託先に対する「必要かつ適切な監督」を行う義務を発注企業(委託者)が負います。具体的には、委託先の選定前にセキュリティ体制を確認すること、委託契約にセキュリティ要件を盛り込むこと、定期的に委託先の運用状況を確認することが求められます。
もし委託先からの情報漏えいが発生した場合、発注企業が「適切な監督を行っていなかった」として法的責任を問われる可能性があります。ISMS認証の有無は、この「適切な監督」の証拠の一つとして活用できます。
ISMS認証を取得した開発会社に発注する5つのメリット
では、ISMS認証取得済みの開発会社に発注することで、具体的にどのようなメリットが得られるのでしょうか。
メリット1: 情報管理体制が第三者機関によって客観的に保証されている
ISMS認証の最大のポイントは、「自社の取り組みを自社で評価している」のではなく、「第三者の審査機関が基準を満たしていると判断した」という点です。
認証を維持するためには、年1回の維持審査(サーベイランス審査)と3年ごとの更新審査(再認証審査)に合格し続ける必要があります。つまり、取得時点だけでなく、継続的にISO27001の要求水準を満たしていることが確認されています。
発注側からすると、「セキュリティに取り組んでいます」という口頭の説明ではなく、第三者が検証した証拠として活用できる点が大きなメリットです。
メリット2: インシデント発生リスクが体系的に管理されている
ISMS認証を取得するためには、情報資産の洗い出し、リスクアセスメント(どんなリスクがあるかの評価)、リスク対策の実施が求められます。これは単なる書類作成ではなく、「現場で実際に機能している」ことが審査で確認されます。
具体的には、以下のような管理策が整備されています。
- アクセス権管理(誰がどの情報にアクセスできるかの制御)
- 情報機器の持ち出し管理・暗号化対応
- 委託先・外部パートナーへの情報提供に関する規程
- 従業員への定期的なセキュリティ教育
これらの管理策が整備されている開発会社は、プロジェクト中の情報取り扱いにおいても同様の水準で対応してくれる蓋然性が高いと言えます。
メリット3: 問題発生時の対応プロセスが整備されている
万が一インシデントが発生した場合、対応の速さと正確さが被害の拡大を左右します。ISMS認証取得会社では、情報セキュリティインシデント管理の手順書を整備することが要求されています。
具体的には、「インシデントの検知→初動対応→原因特定→報告→再発防止」というプロセスが文書化され、実際に訓練されていることが審査で確認されます。
発注側にとっては、問題が起きた際に「どう対応してくれるか分からない」という不安を減らすことができます。事前に対応フローを確認し、インシデント発生時の報告ルートや対応フローを契約書に盛り込むことも可能です。
メリット4: 法令・規制対応の要件を満たしやすい
個人情報保護法では、個人データを外部に委託する際に「委託先の適切な選定」が求められます。外注先がISMS認証を取得していることは、この「適切な選定」を行った根拠の一つとして活用できます。
また、行政機関や大手企業との取引において、入札条件や取引要件としてISMS認証取得が求められるケースが増えています。自社がこうした取引関係に入る際、外注先がISMS認証を持っていることで、取引相手への説明がしやすくなります。
メリット5: 担当者レベルの情報セキュリティ意識が継続的に高められている
ISMS認証の維持には、従業員への定期的な教育・訓練が必要です。審査では、教育の実施記録や、従業員がセキュリティポリシーを理解・実践していることが確認されます。
書類上のルールが整備されていても、実際に現場の担当者がルールを守っていなければ意味がありません。ISMS認証取得会社では、定期的な内部監査と外部審査によって「現場でルールが守られているか」を継続的に確認し続けるサイクルが機能しています。
プロジェクト担当者レベルで情報セキュリティ意識が高いことは、日々の業務における情報の取り扱いの質に直結します。
ISMS認証と他のセキュリティ基準との違い
外注先のセキュリティ評価において、ISMS認証以外にも耳にする認証・基準があります。それぞれの違いを理解することで、評価基準をより正確に設定できます。
PマークとISMSの違い
Pマーク(プライバシーマーク)とISMS認証の最大の違いは、保護対象の範囲です。
項目 | Pマーク | ISMS認証(ISO27001) |
|---|---|---|
準拠規格 | JIS Q 15001(国内規格) | ISO/IEC 27001(国際規格) |
保護対象 | 個人情報のみ | 情報資産全般(個人情報・技術情報・営業情報など) |
認証の通用範囲 | 日本国内のみ | 国際的に通用 |
主な取得対象 | 個人情報を大量に扱う企業 | IT企業・情報サービス業など |
システム開発の外注先として評価する場合、Pマークは「個人情報の取り扱い」に特化した証明です。一方、ISMS認証は個人情報に加えて、ソースコード・設計書・インフラ情報など「開発プロジェクトで扱う機密情報全般」をカバーしています。
システム開発の外注であれば、個人情報だけでなく技術情報も保護対象とするISMS認証の方がより適切な評価基準です。
ISMS-CLOUDとは(クラウドサービス向け拡張)
クラウドサービスの利用が前提となる開発プロジェクトでは、「ISMS-CLOUD」(ISO/IEC 27017に基づく)の取得状況も確認するとよいでしょう。ISMS認証のクラウド利用に特化した拡張規格であり、クラウドサービス固有のセキュリティリスクへの対策が審査されます。
外注先候補のISMS認証取得状況を確認する方法
ISMS認証の重要性は分かったとしても、「実際にどう確認すればいいのか」という実務的な疑問があります。具体的な手順を説明します。
公的な確認方法:ISMS-ACの検索サービス
ISMS認証は、情報マネジメントシステム認定センター(ISMS-AC)の公式サイトで確認できます。「ISMS認証取得組織検索」(https://isms.jp/lst/ind/)から、企業名や所在地で検索することが可能です。
ただし、企業が非公開を希望している場合は検索結果に表示されないため、「検索できない ≠ 未取得」である点に注意してください。確認できない場合は、候補会社に直接「認証登録証の写し」を提出してもらう方法も有効です。
認証スコープの確認が重要
ISMS認証は、企業全体ではなく特定の事業部・拠点・業務範囲(スコープ)に限定して取得することができます。そのため、「取得済み」であっても、自社の発注内容がそのスコープに含まれていない可能性があります。
認証登録証には認証されたスコープが記載されています。発注する業務(例:Webシステム開発、クラウドインフラ設計)が認証スコープに含まれているかを確認してください。
有効期限・更新状況の確認
認証の有効期限も確認事項の一つです。ISMS認証の有効期限は一般的に3年間で、更新(再認証審査)を経て維持されます。有効期限が切れていたり、更新が予定されていない場合は注意が必要です。認証登録証に記載された有効期限、または最後の審査日程を確認するとよいでしょう。
まとめ — ISMS認証を外注先選定の判断基準に
本記事で解説した内容を整理します。
- ISMS認証(ISO27001)とは: 企業の情報セキュリティマネジメント体制が国際規格を満たしていることを、第三者機関が審査・証明したもの
- 外注先のISMS認証が重要な理由: 開発プロジェクトでは機密情報が外注先と共有されるため、外注先の情報管理が自社のセキュリティリスクに直結する
- 5つのメリット: ①第三者による客観的な保証、②体系的なリスク管理、③インシデント対応プロセスの整備、④法令・規制対応の補強、⑤担当者レベルのセキュリティ意識の維持
- 確認方法: ISMS-ACの公式検索サービスで確認し、認証スコープと有効期限を必ずチェックする
システム開発の外注先選定において、ISMS認証の有無を評価項目の一つに加えることで、セキュリティ面のリスクを客観的な根拠に基づいて評価できます。口頭での説明や会社の規模だけで判断するのではなく、第三者が認めた仕組みの有無を確認することが、後悔しない発注先選定につながります。
システム開発 完全チェックリスト――発注前・発注中・完了後の3フェーズで使えるチェック集
この資料でわかること
システム開発の外注・発注を初めて経験する担当者や、過去に失敗を経験した担当者が、発注プロセスの各フェーズで「何をチェックすべきか」を明確に把握できるようにする。
こんな方におすすめです
- 初めてシステム開発を外注する担当者
- 過去の発注で失敗を経験した方
- ベンダー選定の基準が分からない方
入力いただいたメールアドレスにPDFをお送りします。
