ISMSとISO 27001の違いとは？「仕組み」と「規格」の関係を最新規格対応で解説

「ISMS」と「ISO 27001」は情報セキュリティの話題で必ず並んで出てくるものの、両者の違いやISMS認証とISO27001認証の関係を正確に説明できる方は多くありません。この記事では、ISMSが「仕組み」・ISO/IEC 27001が「規格」であるという核心の違いから、混同されやすい「認証」と「認定」の整理、2025年に移行期限が終了した最新規格の状況、Pマークやクラウドセキュリティ認証など類似制度との違い、取得メリット・費用感・判断基準までをまとめて解説します。取引先から認証取得を求められた担当者の方が、自社で何を目指すべきかを判断できる状態を目標にしています。

ISMSは「仕組み」・ISO 27001は「規格」という結論と認証取得の要点まとめ

結論として、ISMSは組織が情報資産を守るために構築・運用する「仕組み（マネジメントシステム）」そのものを指し、ISO/IEC 27001はそのISMSが満たすべき「要求事項」を定めた国際規格を指します。両者は別物ですが密接に関係しており、ISO/IEC 27001という規格に沿ってISMSを構築・運用し、第三者の認証機関に適合を認められた状態が「ISMS認証（ISO27001認証）」です。

実務上「ISMS認証」と「ISO27001認証」はほぼ同義で使われます。日本国内では、ISO/IEC 27001を和訳したJIS Q 27001を基準に審査が行われ、認証機関の公平性は認定機関ISMS-ACが「認定」して担保しています。現行規格はISO/IEC 27001:2022（和訳はJIS Q 27001:2023、気候変動追補を反映したJIS Q 27001:2025）で、旧2013年版からの移行期限は2025年10月31日に終了しています。本文では、これらの違いと関係、取得の判断基準を順に整理します。

情報資産を守る「仕組み」としてのISMSと情報セキュリティ三要素

ツールではなく組織的な情報管理の「仕組み」を指すISMSの中身

ISMSは「Information Security Management System」の略で、日本語では情報セキュリティマネジメントシステムと訳されます。特定のセキュリティ製品やツールを指す言葉ではなく、顧客情報・技術情報・人事情報といった情報資産を守るための方針・体制・規程・教育・記録・改善といった組織的な取り組み全体を指します。つまりISMSとは、情報セキュリティを「人とルールと運用」で継続的に管理する仕組みのことです。

機密性・完全性・可用性という情報セキュリティ三要素（CIA）とPDCA運用

ISMSが守る対象は、情報セキュリティの三要素である機密性（Confidentiality／許可された人だけがアクセスできる状態）、完全性（Integrity／情報が改ざんされず正確な状態）、可用性（Availability／必要なときに使える状態）の3点です。これら3要素の頭文字からCIAとも呼ばれます。ISMSはこの三要素を維持するために、方針策定（Plan）→対策実行（Do）→点検・監査（Check）→改善（Act）というPDCAサイクルを回し続ける点に特徴があります。一度作って終わりではなく、リスクの変化に合わせて継続的に見直す運用そのものがISMSです。

ISMSの国際規格ISO/IEC 27001の役割と規格本体の構成

ISMSの「要求事項」を定める国際規格としてのISO/IEC 27001

ISO/IEC 27001は、ISMSを構築・運用するために満たすべき要求事項を定めた国際規格です。国際標準化機構（ISO）と国際電気標準会議（IEC）が共同で策定しており、業種や規模を問わずあらゆる組織に適用できる汎用的な内容になっています。組織はこの規格を「ものさし」として自社のISMSを設計し、第三者審査で適合を確認してもらいます。ISO/IEC 27001がなければ、各社のISMSが妥当かどうかを客観的に比較・証明する基準が存在しないことになります。

本文（箇条4〜10）と附属書Aの管理策という規格の二層構造

ISO/IEC 27001は大きく2つの層で構成されます。1つ目は本文（箇条4〜10）で、組織の状況把握、リーダーシップ、計画、支援、運用、パフォーマンス評価、改善という、ISMSの土台となる必須の要求事項を定めています。2つ目は附属書A（管理策）で、アクセス制御や暗号化、物理的セキュリティ、インシデント管理など、リスクを下げるための具体的な対策の一覧が示されています。組織は本文の要求事項を満たしたうえで、自社のリスクアセスメント結果に応じて附属書Aから必要な管理策を選び、適用宣言書として整理します。

「仕組み」と「規格」というISMSとISO 27001の決定的な違いと関係

「作る対象（ISMS）」と「ものさし（ISO 27001）」という役割の違い

両者の決定的な違いは役割にあります。ISMSは組織が実際に「作って運用する対象」であり、ISO/IEC 27001はそのISMSが基準を満たしているかを測る「ものさし（規格・ルールブック）」です。料理にたとえると、ISMSが各社が作る料理そのもの、ISO/IEC 27001がその料理が満たすべきレシピ・基準書にあたります。だからこそ「ISMSを取得する」という言い方は厳密には不正確で、正しくは「ISO/IEC 27001に基づいてISMSを構築し、その認証を取得する」となります。

「ISMS認証」と「ISO27001認証」がほぼ同義として使われる理由

「ISMS認証」と「ISO27001認証」が同義に扱われるのは、日本国内のISMS認証がISO/IEC 27001（国内規格はJIS Q 27001）を唯一の認証基準としているためです。企業が「ISMS認証を取得した」という場合、その実態は「ISO/IEC 27001の要求事項に適合したISMSを第三者認証機関が認めた」状態であり、両者が指す中身は同じになります。そのため日常会話では使い分ける必要はほぼありませんが、概念としては「ISMS＝仕組み」「ISO27001＝規格」という違いが背後にある点を押さえておくと、認証範囲や規格改訂の話を正確に理解できます。

ISO/IEC 27001とJIS Q 27001の関係と規格表記の違い

ISO/IEC 27001は英語の国際規格で、JIS Q 27001はそれを日本産業標準調査会（JISC）が日本産業規格として制定した国内規格です。内容は国際規格と厳密に整合しており、国内のISMS認証はこのJIS Q 27001を基準に審査されます。英語版が発行年で「2022年版」と呼ばれる一方、和訳版は翻訳作業を経て発行されるため「JIS Q 27001:2023」と年号がずれる点に注意が必要です。認証登録証では「JIS Q 27001:2023（ISO/IEC 27001:2022）」のように両方が併記されるのが一般的です。

認証と認定の違いから整理するISMS適合性評価制度の全体構造

組織が受ける「認証」と認証機関が受ける「認定」の役割の違い

初心者がもっとも混同しやすいのが「認証」と「認定」です。認証（Certification）は、組織のISMSが規格に適合しているかを認証機関が審査して証明する行為で、組織には認証登録証が発行されます。一方、認定（Accreditation）は、その審査を行う認証機関に十分な能力と公平性があるかを認定機関が審査して認める行為です。つまり、組織が受けるのが「認証」、認証機関が受けるのが「認定」であり、両者は対象も主体も異なります。

規格→認定機関ISMS-AC→認証機関→取得組織という評価の連鎖

この仕組みは、規格を頂点とした評価の連鎖として整理できます。ISO/IEC 27001（JIS Q 27001）という規格があり、その規格に沿って審査する認証機関を認定機関であるISMS-AC（一般社団法人情報マネジメントシステム認定センター）が認定し、認定された認証機関が組織のISMSを審査して認証する、という三段構造です。ISMS-AC自体は組織のISMS認証を行いません。あくまで認証機関を認定する役割であり、2024年時点で27の認証機関がISMS-ACに認定されています。この連鎖が国際的に整合しているからこそ、ISMS認証は対外的な信頼の証として機能します。

ISMSはISMS-AC・PマークはJIPDECという管轄の違い

ISMS-ACは、もともとJIPDEC（一般財団法人日本情報経済社会推進協会）の事業の一部でしたが、2018年4月に認定事業が独立して設立された経緯があります。ISMS-ACはISMS適合性評価制度の認定機関ですが、ISO/IEC 27001の認証機関の認定はJAB（公益財団法人日本適合性認定協会）も行っています。一方、JIPDECはプライバシーマーク（Pマーク）制度を運営しており、両者は別の制度を管轄しています。ISMS関連の話でISMS-ACとJIPDECが混在して語られるのはこの歴史的経緯のためで、ISMS＝ISMS-AC、Pマーク＝JIPDECと整理しておくと混乱を避けられます。

2022年改訂と2025年移行期限終了を踏まえた最新規格の現在地

114管理策・14分類から93管理策・4テーマへ再編された2022年改訂

ISO/IEC 27001は2022年10月に約9年ぶりに改訂され、第3版であるISO/IEC 27001:2022が発行されました。本文（箇条4〜10）の要求事項に大きな変更はなく、最大の変更点は附属書Aの管理策の再編です。旧2013年版では14分類・114の管理策でしたが、2022年版では「組織的」「人的」「物理的」「技術的」という4つのテーマに整理され、管理策は93に統合されました。さらに、脅威インテリジェンスやクラウドサービス利用のセキュリティなど、現代の脅威に対応する11の新しい管理策が追加されています。

2025年10月31日で終了した2013年版からの移行期限と現在の前提

旧2013年版からISO/IEC 27001:2022への移行期限は、規格発行月末（2022年10月31日）から3年後の2025年10月31日と定められ、すでに終了しています。これにより、2013年版を基準とした認証は現在では有効性を失っており、認証を維持している組織は2022年版での運用が前提になっています。新規取得の場合も、旧規格による初回認証審査は2024年4月30日で受付終了しているため、これからISMS認証を取得する組織はISO/IEC 27001:2022での審査が必須です。「旧規格のままで取得・維持できる」という前提の古い情報には注意が必要です。

気候変動追補に対応したJIS Q 27001:2025とJIS Q 27001:2023の関係

2024年2月には、ISOのマネジメントシステム規格共通の改定として、気候変動への配慮を求める追補（ISO/IEC 27001:2022/Amd 1:2024）が発行されました。これを受け、国内規格でも2025年5月20日にJIS Q 27001:2025が公示されています。JIS Q 27001:2025は気候変動に関する追補1のみを示した規格で、組織の課題（4.1）と利害関係者の要求（4.2）を検討する際に気候変動が関連するかを考慮することを求める内容です。要求事項の全体はJIS Q 27001:2023に記載されているため、2025年版は2023年版と併せて読む必要があります。実務上は「気候変動を自社の課題として検討し、その記録を残す」ことが追加で求められる点を押さえておけば十分です。

Pマーク・ISO 9001・クラウドセキュリティ認証など類似制度との違い

個人情報に特化したPマーク（JIS Q 15001）とISMSの対象範囲の違い

ISMSと最も比較されるのがプライバシーマーク（Pマーク）です。Pマークは個人情報保護に特化した日本独自の制度で、JIS Q 15001を基準にJIPDECが運営しています。守る対象が「個人情報」に限定され、原則として事業者全体（全社）を範囲とする点が特徴です。これに対しISMSは、個人情報を含む情報資産全般を対象とし、特定の部門や拠点・事業に適用範囲を限定できる国際規格です。「個人情報の取り扱いを対外的に示したい」ならPマーク、「情報資産全体のセキュリティを国際基準で示したい」ならISMSという棲み分けになります。取得手順の詳細はプライバシーマーク取得の流れもあわせて確認すると、両制度の運用イメージを比較しやすくなります。

品質のISO 9001と情報セキュリティのISO 27001という目的の違い

ISO 9001とISO 27001は「ISO＋番号」で似て見えますが、目的がまったく異なります。ISO 9001は品質マネジメントシステム（QMS）の規格で、製品やサービスの品質を継続的に高めることを目的とします。ISO 27001は情報セキュリティに焦点を当てた規格です。一方で、両者は箇条4〜10という共通の枠組み（マネジメントシステム規格の共通構造）を採用しているため、すでにISO 9001を運用している組織はISO 27001の文書体系やPDCAの考え方を流用しやすいという利点があります。

ISMSを拡張するクラウドセキュリティ認証（27017）とPIMS認証（27701）

ISMS適合性評価制度には、ISMS認証を土台に特定分野を上乗せする認証もあります。代表的なのが、クラウドサービス固有の管理策（ISO/IEC 27017）への適合を認証するISMSクラウドセキュリティ認証（基準はJIP-ISMS517）です。クラウド事業者・利用者が、通常のISMSに加えてクラウド特有の対策を実施していることを示せます。また、プライバシー情報マネジメント（ISO/IEC 27701）への適合を認証するPIMS認証もあり、ISO/IEC 27701:2025の発行に伴い従来のISMS-PIMS認証から名称が変更されています。いずれもISMS認証を前提とした上乗せ認証である点が共通しています。

ISMS認証取得のメリット・費用感と認証取得までの流れ・判断基準

取引要件・入札・信頼性向上というISMS認証取得の主なメリット

ISMS認証を取得するメリットは、対外的な信頼性の向上に集約されます。BtoB取引や官公庁の入札では、取引条件としてISO 27001認証の取得を求められるケースが増えており、認証がないと商談の土俵に乗れない場面もあります。加えて、リスクアセスメントを通じて自社の脅威や脆弱性を体系的に洗い出せること、従業員教育を通じて全社のセキュリティ意識が高まること、インシデント発生時に「適切な管理体制を敷いていた」と説明責任を果たしやすくなることも実務上の利点です。

審査費用・コンサル費用・適用範囲で変わる取得コストと取得の基本ステップ

取得コストは、審査機関に支払う審査費用と、社内体制構築のための費用に分かれます。審査費用は組織の規模・適用範囲・選ぶ認証機関によって変動し、構築を外部に頼る場合はコンサルティング費用（一例として数十万円〜200万円程度）が別途かかります。取得の流れは、適用範囲の決定→情報セキュリティ方針の策定→リスクアセスメント→管理策の選択と文書化→運用→内部監査→マネジメントレビュー→認証審査（第一段階・第二段階）という基本ステップで進み、初回取得は準備開始から6〜12カ月程度が目安です。取得後も維持審査（年1回程度）と更新審査（3年ごと）を受け続ける必要があります。

全社の個人情報はPマーク・情報資産全般はISMSという選び方の判断基準

どの認証を目指すべきかは、自社が守りたい情報と取引先の要求で判断します。取り扱う情報が主に個人情報で、全社的に保護体制を示したいならPマークが適します。顧客の技術情報やシステム上のデータを含む情報資産全般を守りたい、海外取引や入札で国際規格が求められる、特定部門だけ先行して認証したいといった場合はISMS（ISO 27001）が向いています。クラウドサービスを提供しているならISMSにクラウドセキュリティ認証を上乗せする、といった組み合わせも選択肢です。両方を取得する企業も少なくないため、まずは取引先が指定する認証を起点に検討するのが現実的です。

ISMSとISO 27001の違いに関するよくある質問

ISMSとISO 27001の違いについて、検索でよく寄せられる疑問に簡潔に回答します。

ISMSとISO 27001は同じものですか？

同じものではありません。ISMSは組織が情報資産を守るために運用する「仕組み」そのもの、ISO/IEC 27001はその仕組みが満たすべき要求事項を定めた「国際規格」です。ISO/IEC 27001という規格に沿ってISMSを構築・運用し、第三者審査で適合が認められた状態がISMS認証であり、両者は密接に関係していますが指すものは異なります。

ISMS認証とISO27001認証に違いはありますか？

実務上はほぼ同義です。日本国内のISMS認証はISO/IEC 27001（国内規格はJIS Q 27001）を唯一の基準として審査されるため、「ISMS認証を取得した」状態と「ISO27001認証を取得した」状態は同じ中身を指します。認証登録証にもJIS Q 27001とISO/IEC 27001が併記されるのが一般的です。

ISMSとPマークはどちらを取得すべきですか？

守りたい情報の範囲で判断します。守る対象が主に個人情報で全社的に保護を示したいならPマーク（JIS Q 15001）、個人情報を含む情報資産全般を国際基準で守りたい、または海外取引や入札で求められるならISMS（ISO 27001）が適しています。取引先から特定の認証を指定されている場合は、その要求を優先するのが基本です。

ISMS認証の取得にはどのくらいの費用がかかりますか？

費用は組織の規模・適用範囲・認証機関によって変動するため一律には言えません。認証機関に支払う審査費用に加え、社内構築を外部支援に頼る場合はコンサルティング費用（一例として数十万円〜200万円程度）が別途必要です。取得後も維持審査・更新審査の費用が継続的にかかるため、初期費用とランニングコストの両面で見積もることをおすすめします。

2013年版のISO27001認証のままでも問題ありませんか？

問題があります。2013年版から2022年版への移行期限は2025年10月31日に終了しており、現在は2013年版を基準とした認証は有効性を失っています。認証を維持するには2022年版（国内規格はJIS Q 27001:2023、気候変動追補を反映したJIS Q 27001:2025）への移行審査を完了している必要があります。これから取得する場合も2022年版での審査が前提です。