ISO9001と27001、IT系やWEB会社はどちらを取得する?コンサルタントの意見

情報システム開発の会社など、IT系企業のISO9001取得が増えています。

当社でも、現在(2021年)、システム開発やWEB関係のIT系企業のISO取得のコンサルティングを進行中です。

取得を検討されている企業からの問合せをいただく回数も増えています。

情報システム会社会社、WEB会社、IT系企業からの質問

中でもよく質問されるのが、

「ISO9001とISO27001は、どちらを取得すべきですか?」

という質問です。

事情や状況によって、どちらを取得すべきか変わります。

検討されている理由をお聞きすると、

・取引上や顧客からのISO取得要請が高まり、必要となってきた

・ISO取得で会社の信用性を高めたい

・ISO取得を営業に活かしたい

といった事情が多いようです。

IT系の会社が、ISO9001とISO27001のどっちを取得するか迷うお気持ちは分かります。

まずは製造業の事情を参考に

製造業では、圧倒的にISO9001を取得している企業が多く、ISO9001と27001のいずれかで迷っている話は聞いたことがありません。

その理由は、製造業の場合、取引先が取得を望んでいるのがISO9001だからです。

顧客が望む理由は、大きくは次の2点です。

「約束した品質のものを確実に提供してほしい」

「品質を管理する仕組みをもっていて欲しい」

IT系の業界となると、

製造業とは異なり、ISO9001とISO27001の両方2つの規格を取得している企業もありますし、ISO27001だけを取得している企業も多いので、これからISO取得しようとするIT系企業は、どちらにするか迷われるのかと思います。

一般的な印象として、

ISO9001は製造業のISO規格で、

ISO27001は、システム開発などのIT系のISO規格という偏ったイメージがあるのも、迷わせてしまう一因ではないでしょうか。

ISO9001とISO27001の違いを解説

どちらを取得するか迷っている企業に方に、少しでも迷いを解消していただきたく、

そもそもISO9001とISO27001って、どういう違いがあるのか、少し説明したいと思います。

ISO9001とISO27001の違いをざっくり言うと、

ISO9001は企業の事業経営の規格で、

ISO27001は、情報管理の規格です。

ISO9001=事業経営の規格というのは、

ISO9001は製品やサービスといった「価値」を提供する事業活動に関する規格で、営業から設計、仕入・委託、製造・サービス提供、検査、納品までの活動を対象としたISO規格です。

上記の活動の流れを聞くと、やはりISO9001は製造業向けの規格であるとの印象を受けやすいですが、上記の流れの「製造・サービス提供」の部分は、IT系の企業では、設計した後の「プログラム作成やコーディング」といった業務が該当します。

ISO9001を取得すると、国際ルールに基づいて、モノづくりやサービスといった価値を作り込み、提供していることが認証されているということになります。

システム開発会社やインターネット関係の会社も、システムを構築して作ったり、ネットサービスを提供する事業活動をしているので、ISO9001を取得することは検討する価値があると思います。

なぜ、製造業でISO9001取得が多いかと言うと、製造業では仕入先も管理するという文化が定着していたり、しっかりとした事業活動(モノづくり)をしている仕入先から買いたいというニーズがより高いからです。

ISO27001=情報管理の規格というのは、

企業が保有する情報や、顧客などから預かった情報を正しく、適切に、または、厳重に管理する活動を対象としたISO規格です。

情報というのは、その企業が大切に保護すべき情報で、電子データや紙などの書類等、媒体を問いません。システム開発のデータや、WEBのデータも当然該当しますし、著作権や知的財産、個人情報など、様々なものが情報に該当します。

製造業も、図面などの設計情報、著作権等の知的財産の情報を取り扱うのでISO27001を取得する意味はあると思います。

ISO27001を取得すると、国際ルールに基づいて情報を適切に、厳重に取扱い管理していることが認証されているということです。

違いをまとめると、

ISO9001とISO27001の違いを簡単にご説明しました。いかがでしょうか。

ISO9001は事業経営の規格で、仕事を計画的に実行すること、業務を改善することで、事業経営の向上を図るのはISO9001です。

一方、ISO27001は情報の保護管理に関する計画(ルール化)と改善を行い、管理体制を向上させる規格です。

どちらを取得するか、判断するポイントですが、

事業活動の基盤を向上させたいという企業は、ISO9001取得が良いかもしれませんし、

情報管理の管理体制を向上させたいという企業は、ISO27001を取得されるのが良いでしょう。

また、取引先など顧客がどちらを望んでいるか、ということも判断材料にすると良いでしょう。

[この記事を書いた人]
長谷川 順  ISOコンサルタント、株式会社ウイズダムマネジメント代表。
1975年 京都府生まれ、12歳から東京に移り住む。26歳で経営コンサルティング会社に転職、現職。2004年・29歳のときに「ISO支援ネット」事業を立ち上げ、自ら全国の企業に訪問しISOコンサルティング、ISO研修を継続中。わかりやすく実践的なISOを提唱。ISO9001審査員補、ISO14001審査員補(JRCA登録)。