2025年度 ISMS維持審査承認のお知らせ
お客様の情報を守ることは、私たちの事業において重要な責任です。2025年4月17日から18日にかけて実施された情報セキュリティの年次審査において、弊社の体制が最新の国際規格ISMSに適合していることが承認されましたので、ご報告いたします。

[![pdf](/images/file_icons/pdf.svg) 2025年度クレイISMS認証登録証.pdf](https://docbase.io/file_attachments/e8704cf3-d134-444c-a2b0-4886d25b9416.pdf)
<span style="color:#6c737b;">※ 無断転用禁止</span>

今回の審査は、通常の定期審査に加え、国際規格の最新版である「ISO/IEC 27001:2022への移行審査」と「本社移転に伴う審査」を兼ねたものでした。

## ISMSとは

ISMS（Information Security Management System：情報セキュリティマネジメントシステム）は、企業が情報を適切に管理・保護するための仕組みです。

ISMSでは、以下の3つの側面から情報資産を保護します。

### 機密性 (Confidentiality)
許可された人のみが情報にアクセスできる状態を維持することです。お客様の機密情報や個人情報が、権限のない人物に漏洩しないよう管理します。

### 完全性 (Integrity)
情報が正確で、改ざんされていない状態を保つことです。システム内のデータが不正に書き換えられないよう保証します。

### 可用性 (Availability)
必要な時に情報を利用できる状態を確保することです。システム障害や災害が発生しても、サービスを継続的に提供できるよう対策を講じます。

ISMSは一度構築して終わりではなく、PDCA（計画→実行→評価→改善）サイクルを通じて、新たな脅威や事業環境の変化に継続的に対応していく仕組みです。

## 今回の審査の3つのポイント

今回の審査は、以下の3つの目的で実施されました。

### 1. 維持審査：年次の定期確認
既存のISMSが国際規格の要求事項に適合し、有効に機能しているかを確認する年次審査です。日々の運用がルール通りに行われ、セキュリティレベルが維持されているかを検証します。

### 2. 移行審査：最新規格への対応
サイバー攻撃の高度化に対応するため、ISMSの国際規格は「ISO/IEC 27001:2022」へと改訂されています。この最新規格は、クラウドサービスの利用における情報セキュリティ（A.5.23）など、現代の課題に対応した内容となっています。今回の審査で、弊社のシステムがこの最新規格に適合することが確認されました。

### 3. 移転審査：新拠点でのセキュリティ確保
2024年12月に本社を東京都武蔵野市吉祥寺南町5-1-7へ移転しました。新しいオフィス環境においても、物理的なセキュリティ対策やアクセス管理が適切に維持されていることが確認されました。

## 審査結果のご報告

**審査の結果、「ISMS認証の継続」「ISO/IEC 27001:2022への移行」「移転した新オフィスでの認証」の3点すべてについて、審査機関より無事に承認をいただきました。**

システムの重大な欠陥を示す「不適合」の指摘はありませんでした。これは、ISMSが規格に準拠し、日々の業務プロセスの中で適切に運用されていることを示しています。

審査では、より良いマネジメントシステムを構築するための「改善の機会」として、以下3件のフィードバックをいただきました。これらはすでに改善対応を進めています。
- ウェブサイトの住所情報更新
    - 本社移転に伴い、公式ウェブサイトに記載されている所在地情報の更新について助言をいただきました。
- 新旧オフィスのセキュリティレベルの違いに関するリスク評価
    - 移転前後のオフィスにおける物理的なセキュリティ環境の違い、特に無人時のリスクについて、より明確に評価・文書化することの有効性について指摘をいただきました。
- ISMS推進体制の明確化
    - ISMSの運用を担う主要メンバーの役割や責任範囲を、社内規程においてより具体的に記述することで、円滑な運営が期待できるとの意見をいただきました。

## 今後の取り組み

今回の審査結果を踏まえ、情報セキュリティ活動のさらなる向上に取り組んでいきます。

弊社はISMS承認から7年目となり、セキュリティに関する意識も向上し、ISMS活動は社内に定着しています。年に一度のマネジメントレビューから、情報サイト『Seculio』を活用した全従業員向けセキュリティ教育まで、PDCAサイクルは日々の業務に組み込まれています。

今回いただいた3件の「改善の機会」についても、既に社内の管理プロセスに従い、改善に着手しています。

弊社が提供するDocBaseの開発・運用及び保守、受託システムの開発において、お客様に安心してサービスをご利用いただけるよう、情報セキュリティレベルの維持・向上に継続的に取り組んでまいります。

## 最後に

株式会社クレイは、お客様からの信頼を重要な経営資産と考えています。その信頼に応えるため、情報セキュリティへの取り組みを継続していきます。

今後ともご支援のほど、よろしくお願いいたします。

株式会社クレイ