- 作成日 : 2025年7月7日
ISMS審査機関とは?認定機関との違いや認証プロセス、選び方のポイントを解説
情報セキュリティ対策の国際標準として広く認知されているのがISMS(情報セキュリティマネジメントシステム)であり、その適合性を証明するのがISMS認証(ISO/IEC 27001認証)です。
ISMS認証を取得するためには、自社のマネジメントシステムが規格要求事項を満たしていることを、独立した第三者機関である「ISMS審査機関」(ISMS認証機関)に審査してもらい、適合判定を受ける必要があります。
この記事では、ISMS審査機関の基本的な役割から、具体的な選び方のポイント、審査プロセス、費用相場まで、網羅的に分かりやすく解説します。
目次
ISMS(情報セキュリティマネジメントシステム)とは
ISMS審査機関について知る前に、まずはISMSそのものについて理解を深めましょう。
ISMSとは、Information Security Management Systemの略称で、日本語では「情報セキュリティマネジメントシステム」と訳されます。これは、組織が保有する情報資産のリスクを適切に管理し、情報セキュリティを確保・維持するための仕組み(マネジメントシステム)全体を指します。
ISMSの目的は、以下の3つの要素(情報セキュリティのCIA)をバランス良く維持・改善することにあります。
- 機密性(Confidentiality):認可された者だけが情報にアクセスできるようにすること
- 完全性(Integrity):情報及び処理方法が、正確かつ完全である状態を保護すること
- 可用性(Availability): 認可された利用者が、必要な時に情報及び関連資産にアクセスできる状態を確実にすること
ISMSは、特定の技術やツールを導入するだけでなく、組織のルール策定、責任体制の明確化、従業員教育、継続的な見直し(PDCAサイクル)といった組織的な取り組みを通じて、情報セキュリティレベルを向上させることを目指します。
ISMS認証(ISO/IEC 27001認証)とは
ISMS認証とは、組織が構築・運用しているISMSが、国際規格である「ISO/IEC 27001」の要求事項に適合していることを、審査機関が審査し、証明する制度です。一般的に「ISMS認証」と呼ばれるものは、このISO/IEC 27001認証を指すことが多いです。
認証を取得することで、組織は対外的に「国際基準に則った情報セキュリティ管理体制を構築・運用している」ことを客観的に示すことができ、以下のようなメリットが期待できます。
- 社会的信用の向上:取引先や顧客からの信頼獲得につながる
- ビジネス機会の拡大:入札参加条件や取引条件で有利になる場合がある
- 情報セキュリティリスクの低減:適切なリスク管理体制の構築・運用
- 法令遵守(コンプライアンス)体制の強化:法的要求事項への対応
- 従業員の意識向上:情報セキュリティに対する社内全体の意識向上
ISMS適合性評価制度と認定機関(ISMS-AC)
日本国内におけるISMS認証の信頼性を担保するために、「ISMS適合性評価制度」が存在します。この制度は、情報マネジメントシステム認定センター(ISMS-AC:Information Management System Accreditation Center)によって運営されています。
ISMS-ACは、ISMS審査を行う「審査機関」が、国際的な基準(ISO/IEC 17021-1など)に基づいて審査を実施する能力があるかどうかを評価し、「認定」を与えます。つまり、ISMS-ACは「審査機関を審査する機関」であり、後述する審査機関(認証機関)とは役割が異なります。
私たちがISMS審査機関を選ぶ際には、原則としてISMS-ACから認定を受けている審査機関の中から選ぶことが、認証の信頼性を確保する上で非常に重要になります。
※一部、海外の認定機関から認定を受けている審査機関も存在します。
ISMS審査機関の主な役割
ISMS審査機関の主な役割は、組織が構築したISMSがISO/IEC 27001規格の要求事項に適合しているかどうかを、客観的かつ公平な立場で審査し、判定することです。
自社で「ISMSを構築した」と宣言するだけでは、その有効性や客観的な信頼性を外部に示すことは困難です。利害関係のない独立した第三者であるISMS審査機関が、国際規格に基づいて厳格な審査を行うことで、初めてその組織のISMSが適切であることの「お墨付き」が得られます。
具体的には、以下のような業務を行います。
第1段階審査
初回認証審査の1段階目で、文書レビューが中心です。ISMS文書(方針、手順書、適用宣言書など)が規格要求事項を満たしているかを確認します。主に以下の点が確認されます。
- ISMS方針、目的、適用範囲の妥当性
- リスクアセスメント及びリスク対応計画の文書化
- 適用宣言書(管理策の選択理由、適用除外理由)の妥当性
- 規格要求事項を満たすための文書(手順書など)の整備状況
- 内部監査、マネジメントレビューの計画・実施状況
- 第2段階審査への準備状況
この段階で重大な不備が見つかると、第2段階審査に進めない場合もあります。
第2段階審査
初回認証審査の2段階目で、基本的に現地審査となります。文書化された手順が実際に組織内で実施され、有効に機能しているかを確認します。審査員は、トップマネジメントへのインタビュー、担当者へのヒアリング、現場での記録確認、施設の視察などを通じて、以下の点を評価します。
- ISMS方針・目的の組織内への浸透度
- 選択された管理策の実施状況とその有効性
- リスクアセスメント・リスク対応計画の実施状況
- 従業員の認識、力量、教育訓練の状況
- インシデント対応、是正処置の実施状況
- 内部監査、マネジメントレビューの実施状況と有効性
- 継続的改善の仕組み
サーベイランス審査(維持審査)
ISMS認証は取得したら終わりではありません。認証の有効期間中(通常、認証取得から1年後と2年後)に維持審査が実施されます。ISMSが継続的に維持され、改善されているか、一部の要求事項や管理策に焦点を当てて確認します。
再認証審査(更新審査)
認証の有効期間(通常3年)が満了する前に行われます。初回認証審査の第2段階審査と同様に、ISMS全体の運用状況と有効性を改めて評価し、認証を更新します。
ISMS審査機関(認証機関)と認定機関(ISMS-AC)の違い
ISMS認証制度において、認定機関と審査機関(認証機関)の役割は明確に異なります。
ISMS審査機関(認証機関)は、ISMS-ACから認定を受けた上で、企業など組織のISMS運用状況がISO/IEC 27001規格に適合しているかを具体的に「審査」し、適合が確認されれば「認証」を発行する機関です。
一方、認定機関であるISMS-ACは、審査機関が国際基準に則って公平・適切にISMS審査を実施できるか、その能力や体制を評価し「認定」を与える機関です。いわば審査機関を審査・監督する立場にあります。
両者の連携により、信頼性の高いISMS認証制度が成り立っています。
ISMS審査機関の選び方で重要なポイント
審査機関は単に認証を与えるだけでなく、審査を通じて組織のISMSの改善点や強化すべき領域について、専門的な視点からのフィードバックを提供する役割も担います。安易な選択は避け、慎重に比較検討することが重要です。特定の審査機関のランキングを示すものではありませんが、以下の基準で比較することで、自社に合った機関を選定できるはずです。
認定の有無
ISMS-AC(日本)または相互承認のある海外の認定機関から、ISO/IEC 27001の審査に関する認定を受けているかを確認します。ISMS-ACのWebサイトで確認できます。
審査員の専門性・経験
自社の事業分野や業種、技術(クラウド、開発など)に関する知識や審査経験が豊富な審査員が在籍しているかを確認します。専門的な対話ができる審査員は、より本質的な指摘や改善提案につながる可能性があります。
審査費用
見積もりを取得し、費用体系(初回認定審査、維持審査、更新審査、交通費・宿泊費などの諸経費)を比較します。ただし、安さだけで選ぶのは危険です。審査の質とのバランスを考慮しましょう。
実際の費用は個別の見積もりによって大きく異なりますが、一般的な目安は以下の通りです。
- 初回認定審査費用:数十万円後半 ~ 数百万円以上
ISMS認証を新規に取得する際の費用です。第1段階審査と第2段階審査が含まれます。一般的に最も費用が高くなります。 - サーベイランス(定期維持審査)費用:数十万円 ~
認証取得後、毎年発生する費用です。初回審査よりは安価になるのが一般的です。 - 更新審査費用:維持審査費用よりやや高め
3年ごとに認証を更新する際の費用です。初回認定審査よりは安価ですが、サーベイランス(定期維持審査)よりは高くなる傾向があります。
※その他、審査員の交通費や宿泊費などの実費が別途請求される場合があります。
審査実績・評判
同業他社や類似規模の企業での審査実績があるかを確認します。Webサイトや公開情報、可能であれば利用企業の声などを参考にします。
審査方針・柔軟性
審査機関によって、審査の進め方や重視する点に多少の違いがある場合があります。形式的なチェックだけでなく、組織の実態に合った有効性重視の審査を期待できるか確認しましょう。
国内の主要なISMS審査機関一覧
ISMS-AC(情報マネジメントシステム認定センター)のWebサイトには、ISMS(ISO/IEC 27001)の審査機関に認定された機関の一覧が公開されています。このリストを確認することが、信頼できる審査機関を探す最も確実な方法です。
リストには、各審査機関の名称、連絡先、認定範囲(審査可能な業種分野など)といった情報が掲載されています。
審査機関ごとの特徴を理解した上で、自社のニーズに合致する機関を比較検討することが重要です。
ISMS審査機関と共に、情報セキュリティ体制を強化しよう
ISMS認証において中心的な役割を果たすのが、ISMS審査機関(認証機関)です。
審査機関は、単に規格適合性を判定するだけでなく、審査を通じて組織のISMS運用における改善のヒントを与えてくれる重要なパートナーとなり得ます。だからこそ、費用だけでなく、審査員の専門性、コミュニケーション、自社との相性などを多角的に評価し、慎重に選定することが求められます。
信頼できる審査機関と共にISMS認証を取得・維持し、継続的な改善活動に取り組むことで、組織の情報セキュリティ体制はより強固なものとなるでしょう。情報漏洩などのリスクを低減し、社会からの信頼を得て、持続的な事業発展を目指しましょう。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
内部統制におけるRCMとは?作成手順やポイント・サンプルを紹介【テンプレート付き】
上場やIPOのために、内部統制を進めようとしている企業のなかには、RCM(リスクコントロールマトリックス)が何のことか分からず困っている人もいるでしょう。RCM(リスクコントロールマトリックス)は内部統制における重要なツールなため、理解して…
詳しくみる脅威インテリジェンスでISMSを強化!基本から連携方法まで徹底解説
サイバー攻撃が高度化・巧妙化する現代において、ISMS(情報セキュリティマネジメントシステム)の重要性は増す一方です。しかし、形式的な運用だけでは十分な効果は得られません。そこで鍵となるのが「脅威インテリジェンス」の活用です。 この記事では…
詳しくみる財務報告に係る内部統制報告制度が改訂される理由は?ポイントも解説
内部統制とは、事業の目標を達成するために、正しいルールや方法を作り、運用することです。内部統制は、企業のリスクを管理する目的で、不正が起きにくい環境を作ることを目指しています。 2008年に導入された制度ですが、仕組みに限界がきており問題に…
詳しくみるCOSOの内部統制フレームワークとは?要素や原則・活用例をわかりやすく紹介
内部統制の準備を進めている担当者は、COSOの内部統制フレームワークを参考にしたいと考えているのではないでしょうか。COSOのフレームワークを活用すれば、業種形態を問わずに内部統制を構築することが可能です。また、フレームワークに沿って内部統…
詳しくみる内部統制におけるロールフォワードとは?必要性や実施手順を説明
上場を目指す場合、内部統制報告書の提出は重要なプロセスです。しかし、「内部統制の評価・改善がうまくいかない」「期末日までに準備できるか不安」などの悩みを持つ方もいるのではないでしょうか。そういったときはロールフォワード評価を利用すれば、期末…
詳しくみる内部統制報告書とは?義務付けられている会社や提出先をわかりやすく解説
内部統制報告書とは、企業の内部統制システムの有効性と信頼性について評価し、株主や投資家に情報を提供するものです。組織の内部統制体制やリスク管理プロセスを正確に記述するもので、対象となる企業は提出する必要があります。 本記事では内部統制報告書…
詳しくみる