「ISMSクラウドセキュリティ認証」とは?「ISMS」や「JIS Q 27001」など、関連用語とあわせて解説

安心・安全のセキュリティ

「ISMSクラウドセキュリティ認証」とは

「ISMSクラウドセキュリティ認証」とは、クラウドサービスに関する情報セキュリティを適切に管理している組織だと証明するための第三者認証です。
ユーザーが安心してクラウドサービスを利用できることを目的としています。

情報セキュリティに関する認証制度は数多くありますが、そのほとんどがクラウドサービスが登場する前に策定された基準であり、クラウドサービス固有のセキュリティリスクをカバーしきれてはいませんでした。

「ISMSクラウドセキュリティ認証」は、クラウドサービスの提供者・利用者が、クラウドサービスの安全性を客観的に評価するために登場しました。

CLINICSカルテは、ISMSクラウドセキュリティ認証「ISO/IEC 27017:2015」および、ISMS認証「ISO/IEC 27001:2013」を取得しています。
詳細は、ISMSクラウドセキュリティ認証取得組織詳細(株式会社メドレー)をご確認ください。

第三者認証

 

第三者認証とは、ISOやJIS工業規格に代表されるような、組織外の第三者によって審査され、認証を受ける制度のこと。

ISMS(情報セキュリティマネジメントシステム)とは

ISMSとは、企業において情報セキュリティを適切に管理するためのマネジメントシステムのことです。
Information Security Management Systemの略称で、情報セキュリティマネジメントシステムと訳されます。

ISMSは、情報を扱う際のリスクを事前に察知して、そのリスクに対して企業としてどのような対策を取るかを策定するための仕組みです。

情報セキュリティとは

ISMSでは、情報セキュリティを、情報の「機密性(Confidential)」「完全性(Integrity)」「可用性(Availability)」を確保することと定義しています。
これらは、情報セキュリティの三要素「C.I.A」と呼ばれています。

情報セキュリティの「機密性」
情報セキュリティの「機密性」とは、情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保することです。
電子カルテにおいては、患者情報の漏洩や電子カルテへの不正アクセスを防止することを意味します。
情報セキュリティの「完全性」
情報セキュリティの「完全性」とは、情報を正確に処理し、情報が破壊・改ざん・消去されていない状態を確保することです。
電子カルテにおいては、電子署名とタイムスタンプを利用したカルテの編集履歴を残すことを意味します。
情報セキュリティの「可用性」
情報セキュリティの「可用性」とは、必要なときに情報へアクセスし、情報が利用できる状態を確保することです。
電子カルテにおいては、災害やシステムトラブル時においてもデータが失われないようにデータバックアップを取ることを意味します。

電子署名

 

電子署名とは、紙文書における印鑑やサインにあたる役割を電子化したもの。なりすましや情報の改ざんを防止する目的で使用される。

タイムスタンプ

 

タイムスタンプとは、電子データに付与される時刻証明書のこと。その電子データが、その時刻に、その内容で存在していたことを証明する。

マネジメントシステムとは

マネジメントシステムとは、組織を運営していくための仕組みのことを指します。

どのような企業・組織にも、「ルール」が存在します。
その「ルール」を運営するための「責任」「権限」の体系的な仕組みを、マネジメントシステムと呼びます。

国際規格であるISO規格には、マネジメントシステムについて制定された「マネジメントシステム規格」があります。
そして、ISMS(情報セキュリティ)についてのマネジメントシステム規格が、「ISO/IEC 27001:2013」です。

ISO規格

 

ISO規格とは、国際標準化機構(International Organization for Standardization)によって作成された規格のこと。

「ISMSクラウドセキュリティ認証」を得るには

「ISMSクラウドセキュリティ認証」を得るには、前提として「ISO/IEC 27001:2013」を取得していなければなりません。
その前提に加えて、クラウドサービス固有の管理策である「ISO/IEC 27017:2015」が適切に実施されていることが必要です。
ISMSクラウドセキュリティ認証の構造

「ISO/IEC 27001:2013」「JIS Q 27001:2014」とは

先に述べた通り、「ISO/IEC 27001:2013」とはマネジメントシステムの国際規格です。
そして、「JIS Q 27001:2014」は、「ISO/IEC 27001:2013」を日本語訳したものになります。

ISO規格の原文は英語、フランス語などで作成されています。
そこで、日本国内での普及を促進するために、日本産業規格(Japanese Industrial Standards)がJIS規格として日本語に翻訳しています。

また、元々「ISO/IEC 27001:2013」は、イギリスの規格である「BS7799」を参考にして2005年に作成された国際規格でした。
日本では、「ISO/IEC 27001:2013」が作成される前から「BS7799」に基づいた国内独自のISMS認証制度がありました。
それが、財団法人 日本情報処理開発協会(JIPDEC)が始めたISMS適合性評価制度です。
その後、「ISO/IEC 27001:2013」および「JIS Q 27001:2014」が発行されたことを受けて、ISMS認証は国際標準の認証へと移行しました。

そのため、下記3つはすべて同じ内容を指していると考えて差し支えありません。
  • ISMS認証
  • ISO/IEC 27001:2013
  • JIS Q 27001:2014
ISMS適合性評価制度は、「認証機関」「要員認証機関」「認定機関」の3つの機関で構成される制度です。

「認証機関」は、企業が構築したISMSが「ISO/IEC 27001:2013」および「JIS Q 27001:2014」に適合しているかを審査して登録します。

「要員認証機関」は、審査員の資格を付与する役割を担います。

「認定機関」は、「認定機関」「要員認証機関」がそれぞれの業務を行う能力があるかをチェックしています。

「ISO/IEC 27001:2013」では、114項目のセキュリティ対策が要求事項として定められています。
その中でも特に重視されているのが、それぞれの対策がうまくいったのかどうかを検証して改善していく仕組み、すなわちPDCAサイクルを回して継続的改善をし続けられる体制です。

財団法人 日本情報処理開発協会(JIPDEC)

 

財団法人 日本情報処理開発協会(JIPDEC)とは、情報資産を安心・安全に利活用すること目的に設立された団体のこと。2011年に一般財団法人に移行し、現在の名称は「日本情報経済社会推進協会(JIPDEC)」となっている。

クラウドサービス固有の管理策(ISO/IEC 27017:2015)とは

クラウドサービス固有の管理策である「ISO/IEC27017:2015」とは、クラウドサービスに関する情報セキュリティ管理策を規定した国際規格です。

「ISO/IEC27017:2015」は、実践的な手引きが書かれたガイドラインと位置づけられています。
クラウドサービス固有の管理策の例としては、下記が挙げられます。
  • クラウドサービスにおける責任範囲の明確化
  • クラウドサービス固有のリスクを考慮したアセスメントと管理策の実施
  • ISMSの内部監査よりも厳しい水準での内部監査の実施
「ISO/IEC27017:2015」は単体で取得することができません。
「ISO/IEC 27001:2013」および「JIS Q 27001:2014」への適合を前提とした、アドオン認証になります。

さらに、「ISO/IEC27017」をISMS適合性評価制度に取り込み認証制度化するためにJIPDECが策定したものが、「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)」です。
「JIP-ISMS517-1.0」で定められた要求事項を満たすことにより、ISMSクラウドセキュリティ認証を受けることができます。

アドオン認証

 

アドオン認証とは、ISMS(ISO/IEC 27001)認証を前提として、特定の分野固有の規格 を満たしている組織を認証する仕組みのこと。

患者とつながるクラウド電子カルテで 効率的な診療業務をはじめませんか

お問い合わせはこちらから
詳しい資料を無料でダウンロード
無料デモ体験の申し込みはこちら
株式会社メドレー CLINICS事業部
受付時間 10:00~19:00(土日祝・年末年始休み)