ISMS認証の取得に取り組むきっかけとして、「取引先に認証所持を求められた・確認された」ことをきっかけとしてISMS認証の取得に取り組む企業が多く存在します。
実際に企業はどの程度、取引先がISMS認証を取得しているか重視しているのでしょうか。

今回は、JIPDECが公表している「IT-Report 2021 Spring」の調査結果から考えてみましょう。

IT-Report 2021 Springとは

IT-Reportについて、発行元のJIPDECは以下のように説明しています。

JIPDECでは、IT利活用に関わるJIPDEC独自の調査とIT業界を俯瞰するデータ、およびJIPDECの事業に関わるタイムリーなトピックスなど、皆様に簡単に手に取ってお読みいただけるよう、年2回の定期的な刊行物として冊子「JIPDEC IT-report」を発行しています。

JIPDEC「IT-Reportページ」より引用

発行元のJIPDECは、適切な個人情報の取扱いの仕組みについて評価するプライバシーマーク制度を運用しています。また、現在日本はISMS-ACが管理しているしているISMS認証制度についても過去(~2018年3月)には管理を行っていました。

上記のような認証制度の運用や情報セキュリティ調査などの知見を活かし、IT利活用環境についてIT-Reportという形で公表しています。

IT-Report 2021 Springは、その中でも最も最近発行されたレポートです。

取引先が重視し始めたISMS認証

IT-Report 2021 Springに、「コロナ禍対策に伴うプライバシーマーク制度/ISMS評価制度の取引先評価時の重視度」という項目があります。

ここでは、企業が取引先を選定する際にプライバシーマークやISMSを重視するか以下の5つから回答した結果についてまとめられています。(2021年1月調査）

• 以前より重視しており、今後も重視する（29.5%）
• 重視するように変わった（29.9%）
• 重視しなくなった（10.0%）
• 以前より重視しておらず、今後も重視しない（14.4%）
• わからない（16.3%）

この中でも注目すべきは「以前より重視しており、今後も重視する」と「重視するように変わった」の回答でしょう。

もともとおおよそ30%の企業は取引先選定時にISMSを重視していましたが、コロナ禍を通じて追加でさらに30%の企業がISMSを取引先選定時に重視しはじめたということが分かります。
つまり現在では、全体のおおよそ60%の企業が取引先選定時にはISMS認証の取得有無に注目しており、取得していることが最低限のステータスになりつつあるともいえるのではないでしょうか。

なぜISMS認証取得の有無が重視されているのか

業務形態の変化に伴う取引先（供給者）の増加が影響しているのではないでしょうか。

これまでの業務形態では、重要な情報は社内で管理を行い、重要な業務は社内で対応することが多かったです。
しかし、コロナ禍によるテレワークの導入で、従来の業務形態から以下のような形態に移行するようになりました。

• 重要な情報→どこからでも見られるように電子化、クラウド保存をする
• 重要な業務→出社しなくても対応できるようにクラウドツールで業務を代替（電子契約など）

業務形態に上記のような変化が発生すると、クラウドストレージやクラウドツール、業務委託者など新たに多数の取引先が生まれることになります。
また、それらの外部委託先に預けている情報の重要度もおのずと上がるようになりました。

結果として、企業は取引先に高い情報セキュリティレベルを求めるようになり、一定の情報セキュリティのための仕組みができていることを証明できるISMS認証所持の有無が重要視されるようになったと考えられます。

まとめ

入札条件や取引条件にISMSなどの情報セキュリティに関する認証などが求められているということは最近よく聞く話ですが、データにすれば60%を超える企業が重視しはじめているということが分かります。

現代では企業内の業務の様々な場面で、クラウドサービスや業務委託などの第三者が利用されています。
取引先は、それだけ重要な情報や業務を任せられる可能性があるということであり、情報セキュリティについても注意深く見られます。

自分たちが積極的に情報セキュリティに取り組んでいるということを示し、ビジネスチャンスを広げるためにも、ISMSの構築や認証の取得を検討することをおすすめします。