2025年3月、「JISQ9001:2025 品質マネジメントシステム-要求事項(追補1)」が発行されました。
続いて、2024年4月、「JISQ14001:2025 環境マネジメントシステムー要求事項及び利用の手引(追補1)」が発行されました。
そして、2024年5月、「JISQ27001:2025 情報セキュリティマネジメントシステムー要求事項(追補1)」(以下「追補」という)が発行されました。
これは、2024年にQMSなどのマネジメントシステム規格(MS規格)要求に追加された「climate change(気候変動)」に関する「Amendment 1(Climate action changes)」 を加え、JISQ27001:2023の追補1として作成されたものです。
ここでは、「JISQ27001:2025 情報セキュリティマネジメントシステムー要求事項(追補1)」について、「JISQ9001:2025 品質マネジメントシステム-要求事項(追補1)」との違いを含め説明します。
QMSなどのマネジメントシステム規格要求に気候変動の追加についての詳細は、以下の記事をご参照ください。
JISQ27001:2025の気候変動に関する追補1
2025年5月、JISQ27001:2023に対し、2024年発行のAmendent 1(Climate action changes)の内容を基に「JISQ27001:2025 情報セキュリティマネジメントシステムー要求事項(追補1)」が発行されました。
正確な規格名は、以下のようにとても長いので、「JISQ27001:2025 情報セキュリティマネジメントシステムー要求事項(追補1)」ということにします。
JIS Q 27001:2025(ISO/IEC 27001:2022+Amd1:2024)
情報セキュリティ、サイバーセキュリティ及びプライバシー保護一
情報セキュリティマネジメントシステム-要求事項(追補1)
追補の内容
気候変動について追加されるJISQ27001:2025 情報セキュリティマネジメントシステムー要求事項(追補1)」の内容は、以下の2つです。
4.1 組織及びその状況の理解
「4.1 組織及びその状況の理解」に、次の文が追加されます。
組織は、 気候変動が関連する課題であるかどうかを決定しなければならない。
会社(組織)としては、気候変動(地球環境の変化等々)による影響については、マネジメントレビューの検討範囲に含まれていると思われますので、何か新たにはじめるといったことは必要ないと考えています。
ここでいう「気候変動」が、会社として、あるいは、社長として、どのようなことを意味しているのか説明できるようにしておけばよいと考えています。
4.2 利害関係者のニーズ及び期待の理解
「4.2 利害関係者のニーズ及び期待の理解」の注記に、次の文が追加されます。
注記 関連する利害関係者は、 気候変動に関する要求事項をもつ可能性がある。
注記なので、補足説明ととらえればよい内容です。
こちらについても、利害関係者にとっての「気候変動」について、会社として、あるいは、社長として、どのようなことを意味しているのか説明できるようにしておけばよいと考えています。
JISQ27001:2025とJISQ9001:2025との違い
QMSの「JISQ9001:2025 品質マネジメントシステム-要求事項(追補1)」とISMSの「JISQ27001:2025 情報セキュリティマネジメントシステムー要求事項(追補1)」との違いについて説明します。
JISQ27001:2025は、JISQ14001:2025と同じです。
QMSのJIS Q 9001:2025だけが、少し違う。
言い方を変えれば、EMSとISMSは、QMSと違うということです。
イメージ的には、気候変動に関する改訂だからと考えています。
利害関係者についての違いは、
- JISQ9001:2025は、JISQ9001:2025同様に「密接に関連する利害関係者」と限定している。
- JISQ27001:2025は、JISQ14001:2025と同様「関連する利害関係者」となっており、JISQ9001:2025よりも利害関係者の範囲が広い。
ということだと考えています。
情報セキュリティマニュアル等への気候変動追加について
ISMSの要求事項がQMSの要求事項と同じなので、基本的な考え方はQMSと同様でよいと考えています。
しかし、情報セキュリティマニュアルは、ISMSの要求事項の構成からしてQMSのISO9001とは異なります。
EMSの要求事項はQMSと同じような構成ではありますが、実際にマニュアルや規定を作ってみると、中身が違います。
したがって、実際の情報セキュリティマニュアルと実際の気候変動についての考え方や取り組みを踏まえて、改定をどの様にするかは一工夫必要になるかもしれません。
データセンターの新設がニュースになるなど、生活との関係をイメージしやすいように思います。
気候変動や地球温暖化とモノづくりとの関連性よりも、資源やエネルギーとのつながりの方がイメージしやすいということです。
気候変動の意味
「気候変動」という言葉だけみると、その意味するところが漠然としたイメージになりがちです。
すでにISO14001の認証を取得・維持されている場合でも、「気候変動」というと漠然としたイメージかと思いますが、自社にとっての「気候変動」とは何かを説明できるようにしておくとよいと思います。
「会社に影響を与える気候変動に関することは何か?」といった視点で、具体的にイメージしてみると、自社のISMSや会社でやっていることとのつながりが分かりやすくなるかと思います。
- ネットワークやビジネスを支えるクラウドなどのサービスと電力
- データセンターの電力消費
- 使用電力量(=コスト)削減は、経営判断の一部
- つまり、気候変動についても考慮していることになる。
「気候変動」と考えると難しくなりがちです。気候変動という地球規模の環境に関することなので、身近なことから考えはじめてみるとよいと思います。
昨年QMSやEMSの審査を受けた方に聞いてみましたが、「気候変動」については改めて聞かれるといったことはなく、例年通りだったようです。
情報セキュリティマニュアルに気候変動を考慮した改訂の考え方の例
ISMSの要求事項がEMSの要求事項と同じなので、基本的な考え方はEMSと同様でよいと考えています。
しかし、情報セキュリティマニュアルは、ISMSの要求事項の構成からしてQMSのISO9001やEMSのISO14001と異なります。
したがって、実際の情報セキュリティマニュアルと実際の気候変動についての考え方や取り組みを踏まえて、改定をどの様にするかは一工夫必要になるかもしれないと考えています。
マニュアル改訂にあたり、
- 気候変動による当社への影響は間接的なものであるため、気候変動による影響は社内外の環境に含めてを検討している。
ことを説明できればよいと考えています。
まとめ
2025年5月、「JISQ27001:2025 情報セキュリティマネジメントシステムー要求事項(追補1)」が発行されました。
ここでは、「JISQ9001:2025 品質マネジメントシステム-要求事項(追補1)」との違いと情報セキュリティマニュアルへの気候変動追加について以下の項目で説明しました。
- JISQ27001:2025の気候変動に関する追補1
- 追補の内容
- 4.1 組織及びその状況の理解
- 4.2 利害関係者のニーズ及び期待の理解
- 追補の内容
- JISQ27001:2025とJISQ9001:2025との違い
- 情報セキュリティマニュアル等への気候変動追加について
- 気候変動の意味
- 情報セキュリティマニュアルに気候変動を考慮した改訂の考え方の例
