企業組織にとって、情報セキュリティ、サイバーセキュリティ、プライバシー保護のために十分な体制を構築することが求められる時代になりました。

セキュリティインシデントに合わない、起こさないために情報セキュリティマネジメントシステムを構築する必要があります。

当社では様々なコンサルティングサービスを用意しておりますので、お客様組織に合ったものをご選択いただけます。また企業組織さまの業態、活動領域、組織形態等ご事情はさまざまかと思います。

ご事情を鑑み、リスクを最大限軽減させるための体制を目指し、最適なシステム、また必要によって認証取得を提案し実現してまいります。

また、情報セキュリティマネジメントシステムを構築するには「ISO/IEC27001:2022」「ISO/IEC27002:2022」の活用、

マネジメントシステムの構築を対外的に表明するには、第三者認証制度（ISO/IEC27001:2022）による認証取得をおすすめします。

どのような体制づくりがよいのかのご相談にも常に対応させていただいておりますので、お問い合わせフォーム よりご相談ください。

ISMSとは

「Information Security Management Systems（情報セキュリティマネジメントシステム）」の略です。

情報のCIA（「機密性（Confidentiality）」、「完全性（Integrity）」、「可用性（Availability）」）を保護するための重要な仕組みです。

ISO/IEC 27001とは

ISMSを構築するにあたって、必要となるのがISO/IEC 27001（JIS Q 27001）というISMSの国際規格です。この規格には、ISMSをどのように構築、実施、維持、改善すべきなのかが記載されています。

ISMS認証とは

第三者であるISMS認証機関が、組織の構築したISMSがISO/IEC 27001（JIS Q 27001）に基づいて適切に運用管理されているかを利害関係のない公平な立場から審査し証明することです。

～情報マネジメントシステム認定センター （ISMS-AC）発行の「ISMS適合性評価制度」より抜粋～

機能的な情報セキュリティマネジメントシステムを構築して、ISO/IEC27001:2022認証を取得する－フューチャーメイキングはお客様企業様に専門のコンサルタントをご提供し、任務を代行いたします。

コンサルティングは、ISO認証機関の審査員資格保持者、IRCA審査員資格保持者、CISSP保持者、情報処理安全確保支援士登録者等の経験豊富な有資格者が担当いたします。

機能的な情報セキュリティマネジメントシステムの目的は「情報セキュリティ・インシデントを起こさない」ことと考えています。そのために鍵となるのは、次の二つです。

① 「組織全体で（組織の人皆が）適切な行動をとる」

② 「情報（IT）システムを適切な状態にする」

これらが実行されるための組織体制を構築し、ルール（手順）を定め、対象者に教育を実行していくことが必要です。

尚、お客様組織内の役割としては、①の推進者としてのマネジメント管理責任者、②の推進者としてのIT管理責任者を設けていただくことが理想と考えております。

組織に合った適切な情報セキュリティ教育を展開と「情報セキュリティ・インシデントが起きない」体制構築を最重視し、マネジメントシステム視点、情報セキュリティ技術視点両面からサポートします。

ISO/IEC27001:2022情報セキュリティ、サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項は国際規格で、第三者認証制度の対象となっているものです。

当社はこの規格の要求事項を満たした情報セキュリティマネジメントシステムを構築していくプログラムを設けています。

またお客様組織が、認証取得をご希望の場合は認証取得に至るようサポートいたします。

ISO/IEC27001:2022の概要

要求事項本文と付属書（情報セキュリティ管理策）で構成されていて、PDCAサイクル（Plan→Do→Check→Action）を実践していくことが意図されています。

全ての文が「～しなければならない。」という要求事項形式で記されています。また、一部の人の参画で要求事項を満たすことはほぼ無理で、組織で働く人すべての参画が求められます。

（JIS Q 27001:2023（ISO/IEC27001:2022）日本規格協会発行をもとに当社にて作成）

Pマーク取得事業者及びPマーク取得を目指す事業者様向けのサービスです。

個人情報保護においては法律の順守とともにインシデントが起きないしくみづくりが重要になります。そこでPマーク運用においても安全管理策を充実させることが重要です。

弊社の情報セキュリティ技術に精通したコンサルタントがそのしくみづくりをサポートします。

Pマーク（JIS Q 15001:2023 個人情報保護マネジメントシステム－要求事項）とは

組織が、自らの事業の用に供している個人情報について個人情報保護マネジメントシステムを確立し、実施し、維持し、改善するための要求事項について規定しています。

この規格の適用は、個人情報の保護に関する法律（平成15 年法律第57 号）に定められた個人情報取扱事業者及び個人情報取扱事業者に準じる者を対象としている日本国内の規格です。

Pマーク取得事業者様で仕組みの強化をご検討の組織様、個人情報保護マネジメントシステムの導入をご検討の組織様は、お問い合わせフォーム からお連絡ください。

ご判断に必要な説明と詳細資料を提供いたします。

お客様の事業形態によっては、プライバシーマーク「Pマーク」よりも、国際的な信用につながる「PIMS」が重要になることも考えられます。

PIMSとは

個人情報を保護するための体系的なしくみが、PIMS（プライバシー情報マネジメントシステムprivacy information management system）です。

ほとんど全ての組織が個人識別可能情報（PII：Personally Identifiable Information）を扱い、処理しています。またプライバシーの保護が社会的に必要とされ、世界中で専門の法令が話題に挙がっています。

PIMSはISMS（情報セキュリティマネジメントシステム）を土台として、個人情報を保護するための管理を確立させるしくみです。

ISO/IEC 27701とは

PIMSを構築するにあたって、必要となるのがISO/IEC 27701（JIS Q 27701）というPIMSの国際規格です。この規格には、PIMSをどのように構築、実施、維持、改善すべきなのかが記載されています。

PIMS認証とは

第三者であるPIMS認証機関が、組織の構築したPIMSがISO/IEC 27701（JIS Q 27701）に基づいて適切に運用管理されているかを、利害関係のない公平な立場から審査し証明することです。

プライバシーマーク制度との違い

日本では、JIS Q 15001（個人情報保護マネジメントシステム－要求事項）に基づくマーク付与制度が展開され、17,000社を超える事業者がこのマークを取得しています。

これは日本国内での信用確保に限定された制度です。

PIMS認証はプライバシーマーク制度と比べ以下の利点があります。

① 国際的な信用力につながる

現在の事業活動及び取り扱う個人情報は日本国内にとどまらないケースが多いと考えられます。そのような事業者は、グローバルな信用・信頼を得る必要があります。

PIMS認証はISOの開発したしくみであり、認証取得事業者は国際的な信用力を得ることに繋がります。

② 審査のコストパフォーマンスがよい

PIMS認証もプライバシーマーク制度も審査によって取得するものですが、審査のスタイルが異なります。

プライバシーマーク制度は事業者全体を審査しますが、PIMS認証は組織内で対象領域を限定することができます。

また、対象領域に焦点をあてた審査となるため、結果的にコストパフォーマンスよく認証を得ることができます。

③ PIMSはISMSを土台とした拡張規格

　 すでにISMSを構築している組織では、ISMSの管理の延長で運営ができ、（審査も1機関で済み、ISMSとの同時審査が可能であり）認証取得が可能です。

（ISMSとプライバシーマーク両方を取得している組織では、審査機関が異なり（2つの審査を受ける）、2重の管理枠組みを設けていることが多いと思います。

（JIS Q 27701:2024（ISO/IEC27701:2019）日本規格協会発行をもとに当社にて作成）

当社のPIMSコンサルティングサービスの特長

コンサルタントはPIMS審査員資格者です。

ISMSクラウドセキュリティ認証とは

ISMSにおいて、その適用範囲内に含まれるクラウドサービスの提供もしくは利用に関して、クラウドサービス向けの国際規格であるISO/IEC27017:2015に規定されるクラウドサービス固有の管理策が実施されていることを認証するものです。（要求事項はJIP-ISMS517になります。）

当社はお客様企業様に専門のコンサルタント（認証機関のクラウド審査員資格保持者、CISSP保持者、情報処理安全確保支援士登録者）をご提供し、仕組み構築とクラウド認証取得を支援いたします。

ＴＩＳＡＸラベルの取得とパートナーとの共有をスピーディに実現します。

TISAXとは

TISAX（Trusted Information Security Assessment Exchange）は、自動車業界における情報セキュリティの基準で、ドイツの自動車工業会（VDA）が開発し、ENX協会が運営しています。

この仕組みは、参加企業が情報セキュリティ審査（ISA）の要求事項に従い、情報セキュリティ管理水準をみたしていることを証明し、サプライチェーン全体でそれを共有することを目的としています。

TISAX認証の重要性

自動車業界では、情報の保護がますます重要になっています。

自動車メーカーのサプライチェーンの中で、多くの企業が非常に機密性の高いデータを扱っているため、情報漏洩やサイバー攻撃のリスクが増大しています。

TISAX認証を取得することで、企業は情報セキュリティに対する高い基準を満たしていることを証明し、クライアントやパートナーからの信頼を獲得することができます。

当社のTISAXコンサルティングサービスの特長

① コンサルタントは大手認証機関の情報セキュリティの審査員を数多く有しています。最新のＴＩＳＡＸ審査事情を掴み、審査にパスするための知見やノウハウを提供します。

② 自動車業界の審査・コンサルタント経験者も多く、自動車業界のサプライチェーンの状況やプロセスと情報資産を理解してコンサルティングにあたります。

③ お客様が成果を上げるために何をすればよいか、一歩先を考えて常に創造しながらコンサルティングサービスを行ってまいります。

AIの活用は企業の成果を左右する重要な要素となり、急速に利用拡大しています。

一方でAIがもたらすリスクが懸念され、企業が成果を得るためにはAI活用のリスクを明確にしてそれに対応していくことが求められています。

このリスク対応の枠組みとして、2023年12月にISO/IEC42001:2023（AIマネジメントに関する国際標準）が発行されました。

当社はISO/IEC42001:2023をベースとしたマネジメントシステム構築支援コンサルティングサービスを開始しました。

このシステムにより企業組織様がAIのリスクを踏まえた活動を実践し、AI活用によるメリットを最大限享受していただきたいと考えております。

AIマネジメントシステムとは

組織においてAIを使用することから生じる問題及びリスクを明らかにし、それに対処するための管理策を運用することによってAI使用による問題発生を防ぐ体系的なしくみです。

これからの時代、多くの組織が業務にAIを活用して成果の向上を目指していくことと思います。AIは成果につながる重要なツールである反面、さまざまなリスクを併せ持っています。

企業にとっても社会にとっても、AI活用を適切に管理するために、AIマネジメントシステムを組織に確立させることが必要です。

ISO/IEC 42001とは

AIマネジメントシステムを構築するにあたって、必要となるのがISO/IEC42001（情報技術 - 人工知能 - 管理システム）という国際規格です。

この規格には、AIマネジメントシステムをどのように構築、実施、維持、改善すべきなのかが記載されています。

また、この規格は組織が開発、提供又は使用するAIシステムを対象としています（AIの開発業者、提供事業者、使用事業者いずれにも適用されるものです）。

AIマネジメントシステム認証の動向

認証制度とは、第三者である認証機関が、組織の構築したマネジメントシステムが規格（ISO/IEC 42001）に基づいて適切に運用管理されているかを利害関係のない公平な立場から審査し証明することです。

認証制度の枠組みは認証機関の認定基準が明らかになってスタートするものです。現在認定基準（ISO/IEC 42006）が策定中であり、最終段階まで進んでいます。

間もなく日本国内でも認証制度がスタートする見込みです。

認証が取得できれば、組織の対外的な信用力が高まります。ＡＩマネジメントシステム（ISO/IEC 42001）の認証制度開始後すぐに認証を取得できるよう、マネジメントシステムを構築しておきましょう。

（ISO/IEC42001:2023をもとに当社にて作成）

速やかな認証取得のために当社にご用命を！

・お客様組織の目的・ニーズを常に明確にしながらコンサルティングを行います。コンサルティングサービス自体に目標を持ち、その達成度をお客様と共有しながら進めます。

・１ユニット（0.5日、4時間）を基本としています。実施時間帯は平日の9時～18時の間を基本としています。お客様がお望みであれば、平日夜間帯、休日の対応もいたします。

・コンサルティングサービス中はいつでもご質問・ご相談に対応いたします。メールやチャットの設定を行い、1日以内のタイムリーなリスポンスを行います。