そもそも Pマーク・ISMS とは何か
法人向けのセキュリティ研修を語るとき、避けて通れないのが「Pマーク」と「ISMS」という 2 つの認証です。いずれも組織の情報セキュリティ管理体制を第三者が審査して認定する仕組みで、研修の実施はその審査項目の一部に含まれています。
ISMS(ISO/IEC 27001)
情報セキュリティ管理体制を ISO/IEC 27001 規格に沿って構築し、認証機関(BSI・JQA など)の審査を通って取得する国際認証です。維持には毎年のサーベイランス審査と 3 年ごとの再認証審査が必要で、官公庁案件や大手 SI 案件の取引条件として求められることが増えています。
プライバシーマーク(JIS Q 15001)
個人情報保護に関する事業者の体制を JIS Q 15001 に則って構築・運用していることを、JIPDEC(一般財団法人 日本情報経済社会推進協会)が認定する国内認定です。2 年ごとの更新審査があり、人材派遣・通販・受託開発など、個人情報を多く扱う事業者が取得する傾向にあります。
両者は対象とする領域が異なります。ISMS は情報セキュリティ全般を、Pマークは個人情報保護に特化しています。そのため求められる研修内容にも違いが生まれます。
監査が研修について確認すること
規格本文には、研修について次のような要件が明記されています。
ISMS(ISO/IEC 27001:2022 Annex A 6.3)
ISO/IEC 27001:2022 附属書 A の管理策 6.3「情報セキュリティの意識向上、教育及び訓練」では、組織の全従業員(および関連する利害関係者)に対して、業務に関連する情報セキュリティ方針および組織固有の手順について、適切な意識向上・教育・訓練を実施し、これを定期的に更新することが求められています。
出典: ISO/IEC 27001:2022 附属書 A(管理目的及び管理策)
Pマーク(JIS Q 15001:2023 準拠 構築・運用指針 J.4.3 認識(7.3))
2024 年 10 月 1 日より、プライバシーマークの審査基準は JIS Q 15001:2023 準拠 の構築・運用指針に切り替わりました。教育に関する要件は J.4.3「認識」(規格本文 7.3 に対応)に整理されており、個人情報保護マネジメントシステムの目的・方針・各従業者が果たすべき役割等について、全従業者を対象に少なくとも年 1 回の教育を実施すること、および理解度確認を含む手順により有効性を維持することが求められています。
出典: JIPDEC「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針【JIS Q 15001:2023準拠 ver1.0】」 / 2024 年 10 月 1 日適用開始の告知
問題は「やったかどうか」ではなく、「やったことをどう証明するか」です。監査人がチェックリストで確認するのは、概ね次の 5 種類のエビデンスです。
| 監査人が見たがるエビデンス | Gliders Learn で出せるか | 備考 |
|---|---|---|
| 教育計画書(年次計画) | お客様側で作成 | テンプレートは将来提供予定 |
| 教育実施記録 (受講者名簿・日時・内容) |
○ 組織修了証明書 | 第三者発行・改ざん不可 |
| 理解度確認の記録 | ○ M12 修了テスト合格記録 | 合格条件は全問正解 |
| 個人別の受講証跡 | ○ 個人修了証 | PDF + QR 真正性検証 |
| 未受講者へのフォロー記録 | お客様側の運用記録 | 管理画面で未受講者は可視化 |
ご覧の通り、Gliders Learn は 5 点中 3 点を機械的に揃えることができます。残り 2 点はお客様側で運用書類として用意していただく必要があります(Word ファイルや社内ワークフローでの管理で十分です)。
証明書が活きる 7 つのシーン
認証審査だけが研修の修了証の使い道ではありません。実は組織が「研修を実施した証拠」を求められる場面は、想像以上に広範囲に存在します。代表的な 7 つを順番に見ていきましょう。
Pマーク・ISMS 認証審査
最も典型的なシーンです。ISMS(ISO/IEC 27001)は年次サーベイランス審査と 3 年ごとの再認証審査、Pマーク(JIS Q 15001:2023 準拠)は 2 年ごとの更新審査の都度、研修実施記録の提示が求められます。組織修了証明書を「教育実施記録」として、個人修了証を「個人別受講証跡」として書面提示します。
ISMS(年次・3 年) Pマーク(2 年)取引先からの研修実施要求(サプライチェーンセキュリティ)
近年、大手製造業・金融機関・SIer が委託先・サプライヤーに対して「年 1 回以上の情報セキュリティ研修実施」を契約条件として明記するケースが急増しています。経済産業省のサイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)の影響もあり、サプライチェーン全体での教育徹底が業界標準になりつつあります。第三者発行の組織修了証明書は、こうした取引先要求への即時回答に活用できます。
委託契約 サプライヤー監査官公庁・自治体案件の入札条件
国・地方自治体の情報システム調達では、入札参加資格や仕様書の中に「情報セキュリティに関する社内研修を実施していること」が条件として含まれることがあります。とくに個人情報を扱う業務・基幹システム関連の案件で見られます。案件ごとに評価方式が異なるため一概には言えませんが、組織修了証明書は研修実施を裏付ける説明資料・証跡として活用できます。
公共調達 入札参加資格内部統制(J-SOX)・サイバーリスク開示
上場企業の内部統制報告書において、情報セキュリティに関する従業員教育が IT 全般統制の評価対象となるかは、各社の統制設計・監査範囲によります。また金融庁の企業内容等の開示制度では、有価証券報告書にサステナビリティ情報の記載欄が新設され、サイバーセキュリティに関する事項が含まれ得る形になっています。教育施策の実施状況を客観的な記録で示せることは、こうした開示・監査対応の局面で活用できます。
内部統制 サステナビリティ開示サイバー保険の加入・更新
国内損保各社が提供するサイバー保険では、加入申込時にセキュリティ対策の実施状況(従業員教育を含む)が確認されることがあります。商品によっては、教育実施記録の保管が引受条件に明記されているものも見られます。修了証の継続的な発行記録は、こうした申告・確認の場面で客観的なエビデンスとして活用できる可能性があります。
保険申込 セキュリティ対策申告IPO 準備・上場審査
証券取引所の上場審査では、内部管理体制の一環として情報セキュリティ体制の整備が問われます。主幹事証券会社・監査法人による短期調査でも、従業員教育の継続的実施が確認項目に含まれます。直近数年分の教育実施記録を整然と提示できることは、上場準備の効率を大きく左右します。
上場準備 主幹事証券補助金・助成金申請
IT 導入補助金・事業再構築補助金等の各種補助金では、申請要件や加点要素として「情報セキュリティ体制の整備」が含まれることがあります。とくに DX 関連の補助金では、従業員のセキュリティリテラシー向上施策の有無が評価項目になるケースも見られます。
IT 導入補助金 事業再構築Gliders Learn の証明書が貢献するポイント
Gliders Learn は、上記のシーンに対して 3 種類の「証拠」を継続的に発行します。それぞれが補完関係にあり、組み合わせて使うことで監査・取引先要求への対応力が高まります。
個人修了証
受講者一人ひとりに発行される、研修完了の証。PDF 形式でダウンロードでき、QR コードによる真正性検証に対応。HR システムへの保管や、人事評価の客観資料としても活用できます。
組織修了証明書
組織単位の包括証明書。受講者一覧を別紙として添付し、組織として研修を実施したことを当社が責任をもって証明します。Pマーク・ISMS 審査時の「教育実施記録」としてそのまま提示可能。
10 年間の確実保管
発行された全証明書を 10 年間確実に保管・参照可能(利用規約 第9条)。サービス終了時も 3 ヶ月前通知と取得機会の提供を約束。長期保管が前提の認証審査にも応えます。
誠実にお伝えしたい限界事項
「証明書が監査に効く」というメッセージには、いくつかの前提条件と限界があります。誤誘導を避けるため、現時点の Gliders Learn がカバーする範囲とカバーしない範囲を明示しておきます。
1. Pマーク(JIS Q 15001:2023 J.4.3「認識」)の「個人情報保護に関する教育」は別途必要
現在提供している「IPA 10 大脅威コース」は、情報セキュリティ全般を扱うコースです。ISMS Annex A 6.3 の研修要件はほぼフルカバーできますが、JIS Q 15001:2023 準拠の構築・運用指針 J.4.3「認識」が要求する「個人情報の保護に関する教育」は別途実施する必要があります(個人情報保護法・JIS Q 15001 そのものの解説は現コースの主題ではありません)。
この領域については、コース 2「ISMS/Pマーク 対応コース」を順次リリース予定です。リリース後は、Gliders Learn 内で Pマーク研修要件もカバーできるようになります。
2. 教育計画書・未受講者フォロー記録はお客様側で整備
監査人が確認する 5 種類のエビデンスのうち、「年次教育計画書」と「未受講者へのフォロー記録」は組織の運用書類です。Gliders Learn の管理画面で未受講者を可視化することはできますが、フォロー実施の記録(誰がいつ催促メールを送ったか、いつ受講が完了したか)は組織内で別途保管していただく必要があります。
3. 監査の合否は最終的に監査人の判断
本ガイドの内容は、規格本文と監査実務の一般的な傾向に基づいています。実際の認証審査では、認証機関・審査員によって着眼点や運用解釈に差異が生じる場合があります。Gliders Learn の証明書を提示することで監査の合格を保証するものではない点、ご留意ください(免責事項もあわせてご確認ください)。