▼ 目次
1. はじめに
1.1. 記事の目的と対象読者
本記事では、ISMS(ISO/IEC 27001)の外部監査において、監査員がどんな質問をしてくるのかを具体的な例を挙げて解説します。
対象読者:
これからISMS認証を取得しようとしている企業の担当者
「外部監査」と聞くと不安だが、何を準備すればいいか知りたい人
初めての監査で慌てないために対策を学びたい方
本記事を読むことで、よくある質問例の背景や回答のポイントを理解し、効率的に外部監査に臨めるようになります。
1.2. ISMS外部監査への不安を解消するために
外部監査は、「会社が本当にISMSを正しく運用しているか」を第三者(認証機関)が確認する手続きです。初めて受けるときは、何を聞かれるのか分からず不安を感じるもの。しかし、事前に質問例や準備ポイントを把握しておけば、当日落ち着いて対応できます。
コンサル経験談: 「重要書類が見つからない」「担当者が不在で説明できない」などの事前ミスを防げば、監査日数を増やす必要もなくスムーズに進むケースが多いです。
2. ISMS外部監査とは?基本の流れと意図
2.1. 外部監査の役割:ISMS運用の客観的チェック
外部監査: 認証機関の監査員が、企業の情報セキュリティマネジメントシステムがISO/IEC 27001の要求事項に合っているか、文書と現場を照らし合わせて確認。
目的: 形だけではなく、実際にセキュリティリスクを管理できているかを客観的に判断すること。
2.2. 監査のステップ:審査計画・実地審査・報告書
外部監査は通常、次のようなステップで行われます。
審査計画: 監査員が事前に審査範囲やスケジュールを通知
実地審査(現場監査): 担当者へのヒアリング、文書確認、現場巡回
審査報告書: 不適合(Major/Minor)や観察事項がまとめられ、認証可否が判断される
2.3. なぜ質問例を知ることが大切なのか
回答の準備があれば、監査当日に担当者が戸惑わずに済む。
監査員の質問意図を理解すると、単に「はい・いいえ」ではなく、実際の証拠や運用状況をアピールしやすい。
コンサル経験: 事前に質問項目を想定してリハーサルする企業は、監査時の指摘が少なく済むケースが多いです。
3. 外部監査でよく聞かれる質問ジャンル
3.1. 組織の情報セキュリティ方針と目標
よくある質問: 「会社としての情報セキュリティの目的は?具体的な目標値は?」「どんな指標で達成度を測っていますか?」
狙い: 経営者や管理責任者が明確な方針を示し、社員がその方向に動いているかを確認。
3.2. リスクアセスメント・リスク対応策
主な質問: 「リスク分析はどう行っていますか?」「リスク評価表はありますか?」
意図: 企業が情報資産を洗い出し、重要度に応じて対策を取っているかを重視。
3.3. 文書管理(手順書・記録類)
例: 「セキュリティポリシーや手順書は最新版か?」「誰がいつ更新している?」
背景: 文書と運用が一致していないと不適合となることが多い。
3.4. 社員教育・内部監査・マネジメントレビュー
例: 「セキュリティ研修はどの程度の頻度で実施?」
意図: 社員の知識がアップデートされ、内部チェック(内部監査)と経営者の見直し(MR)がちゃんと機能しているかを確認。
3.5. インシデント管理・改善プロセス
質問: 「万が一事故が起きたときの報告手順は?」「過去にあったトラブルへの対策は?」
目的: セキュリティ事故が起きた場合の対応力、再発防止策の有無を重視。
4. 具体的な質問例と回答ポイント【初心者向け】
4.1. 「ISMSの目的や目標は何ですか?」
回答のコツ:
会社独自の目標(例:誤送信件数0件、セキュリティ事故ゼロなど)を明確に述べる
数値や具体的指標があると説得力が高い
注意: 組織のトップがしっかり認知・承認しているか問われることもある。
4.2. 「セキュリティリスクはどのように評価していますか?」
対応:
リスクアセスメントシートや表、評価方法(影響度×発生可能性など)を提示
高リスクに対してどんな対策を優先したか説明
経験談: 見落としがちなリスクがあると、「リスク把握が不十分」と指摘されやすい。
4.3. 「機密情報へのアクセス権限はどう管理されていますか?」
回答のポイント:
アカウント発行・削除の手順書、権限表を用意
退職者のアカウント削除、異動時の権限再設定などの記録を見せる
実例: 「異動時に権限を変更せず放置→アクセス制御が不備」と指摘されるケースが多い。
4.4. 「教育・訓練プログラムはどんな頻度で実施していますか?」
注意: ただ「やっています」ではなく、受講記録や研修内容など証拠を示せるように準備。
コンサル視点: 社員の知識アップはISMS運用の基盤なので、外部監査でも必ずチェックされがち。
4.5. 「インシデントが起きた場合の手順を教えてください」
回答:
インシデント対応フロー図や連絡体制(誰に報告?どの連絡手段?)を見せる
最近の事例があれば、どう処理し再発防止に活かしたか説明
ポイント: 事故が起きた時の記録もきちんと残しておくとアピールしやすい。
5. 質問例を理解するための専門用語解説
5.1. リスクアセスメント(Risk Assessment)
解説: どんな情報資産があり、どんな脅威があるか、どれくらい影響が大きいかを数値やランクで評価するプロセス。
注: 監査員は「評価手順や根拠が妥当か」をよく質問してくる。
5.2. 内部監査(Internal Audit)とマネジメントレビュー(MR)
内部監査: 自社のメンバーがISMS運用を客観的にチェックし、改善点を洗い出す行為。
マネジメントレビュー: 経営者が監査結果などを踏まえて方針やリソース配分を見直す会議。
5.3. セキュリティポリシー・手順書・記録
用語:
ポリシー: 組織全体のセキュリティ方針を示す文書
手順書: ポリシーを実現するための具体的なやり方(例:「パスワードは8文字以上」など)
記録: 実際に行った証拠(研修参加者リスト、インシデント対応ログなど)
5.4. PDCAサイクルと継続的改善
PDCA: Plan(計画)→Do(実行)→Check(検証)→Act(改善)
ISMS: このサイクルを回して常にリスクを見直し、安全性を高める仕組み。監査では「一度きりではなく続けているか」を確認。
6. 監査員が重視するポイントと意図
6.1. 運用と文書が一致しているか(実地 vs 書類)
失敗例: 文書上は完璧でも、現場で実際に守られていないと指摘される。
コンサル経験: 「アクセス権管理マニュアル」があるのに、退職者アカウントが放置されたまま→不適合になる。
6.2. 経営者や管理責任者のコミット度合い
ポイント: 経営者がISMSの重要性を理解し、必要な予算や時間をちゃんと出しているか。
監査員は「トップの関与が薄いと社内への定着が難しい」と考え、よくヒアリングを行う。
6.3. 社員がどこまで仕組みを理解・実践しているか
質問: 「現場スタッフはセキュリティポリシーの内容をどの程度知っていますか?」
教育受講記録やアンケート結果、朝礼などの周知活動が証拠になる。
6.4. 不適合が出た際のフォローアップと改善
重要: 不適合は悪いことではなく、「原因分析と再発防止策をどう進めるか」を見ています。
コンサル経験: 不適合は早期発見→改善の流れが大切で、監査員は「改善サイクルが回っているか」を評価します。
7. 初めてでも慌てないための準備ステップ
7.1. 事前打ち合わせで監査範囲・計画を把握
監査計画: 認証機関から送られてくる「日程・対象部門・監査テーマ」を確認
社員アサイン: 誰がどの質問に答えるか(情報管理者・IT担当・総務など)を決めておく
7.2. ドキュメント(手順書・リスク評価表・教育記録)の整理
要点: 「最新版」が整合性を持って管理されているか。旧版が混在していると混乱の元。
実例: 内部監査の記録、マネジメントレビュー議事録、インシデント対応記録なども揃えておくとスムーズ。
7.3. 社内周知と心構え:社員に監査の意義を伝える
アナウンス: 「○月○日に外部監査があるので、質問があったら正直に答えていい」「不備があれば直すチャンス」と説明。
メリット: 社員が萎縮せず、堂々と自分の業務を話す方が、監査員にも良い印象を与える。
7.4. 担当者と経営層との事前リハーサル
ヒント: よくある質問に対して想定問答をまとめ、経営層や担当者でロールプレイしておく。
コンサル視点: 10~30分程度の簡易リハーサルをするだけでも落ち着いて答えられる。
8. 質問例への回答をスムーズにするコツ
8.1. 結論から伝える:実際の手順や記録を示す
回答法: 「はい、こちらがアクセス管理表です」と、まず証拠を提示しながら説明。
理由: 監査員は具体的な証拠を見たいので、あれこれ言い訳するより証拠を先に見せる方が納得が早い。
8.2. 「担当者不在で分からない」を防ぐための社内情報共有
実例: 「その仕事は○○さんしか知らない」状態だと、本人が不在だと答えられず困る。
対策: マニュアル化や引き継ぎ文書で、最低限の運用を誰でも答えられるように。
8.3. 改善活動の実例を数字で示す(事故削減率・受講率など)
ポイント: 例えば「昨年は誤送信が5件あったが、本年度は1件」といった具体的データを出すと、監査員に「PDCAが回っている」と伝わりやすい。
9. 監査時によく起きるトラブルと対策
9.1. 「必要な書類が見つからない」問題
失敗例: Excelファイルがどこにあるか担当者も把握していない
対策: フォルダ構成や命名ルールを決め、検索しやすくしておく。監査前に実際に開いてみて動作確認。
9.2. 当日担当者が急に休んで説明できないケース
回避策: 代替者をあらかじめ指定しておく。最低2名はその業務内容を知っている状態が理想。
9.3. 監査員と認識が食い違い、議論が長引くケース
原因: 用語や業務内容の理解が監査員と合わず、説明が不足している。
解決: 「どの点が不明か」を確認してから、図やフローを使って説明し直す。感情的にならず落ち着いて対応する。
9.4. 対策:監査対応マニュアルの作成・代替担当者の用意
コンサルアドバイス: 内部監査部門が「外部監査FAQ」を作り、社員が自由に参照できるようにすると当日慌てずに済む。
10. 監査後のフォローアップ:不適合・観察事項への対応
10.1. 不適合(Major/Minor)を受けた場合の手順
Major: 大きな欠陥、認証に影響あり → 再審査が必要
Minor: 修正が可能な範囲 → 指定期限までに是正報告
アドバイス: 締め切り前に対策案をまとめ、迅速に認証機関へ連絡。
10.2. 根本原因の分析と再発防止策の具体例
原因分析: 「なぜ文書が無かったのか?」→「更新ルールが曖昧だったから」など
改善: ルール見直しや担当者再設定、教育など。5Why分析が役立つ場合もある。
10.3. 観察事項は次回監査で指摘に発展する可能性あり
観察事項: 今回は不適合ではないが、将来的に問題になるかもしれない指摘。
対策: 放置せず、観察事項でも早めに手を打つと次回監査がスムーズになる。
10.4. 改善結果を社内で共有し、次回に活かす
実務: 改善内容はメールや社内SNSで徹底周知。特に担当部署に具体的アクションを落とし込む。
メリット: 同じミスの繰り返しを防ぎ、より成熟したISMS運用へ進化できる。
11. 不適合を防ぐための実践アドバイス【コンサル経験談】
11.1. 形だけのルールではなく、実態に合った運用
失敗例: 「パスワード変更は月1回」と規定しながら誰もやっていない
コンサル視点: 現場が嫌がるルールは逆に守られず、不適合のもと。実務に合った現実的なルール設定が大事。
11.2. 社員の声を取り入れた手順書づくり
ポイント: デスクワーク担当の意見だけで決めず、現場スタッフの声も取り入れる
例: 「週1でバックアップ」→現場は「バックアップ時間が長い」と不満→合理的なスケジュールを再調整
11.3. 定期的な内部監査で小さなミスを早期発見
内部監査: 外部監査前の“模擬監査”のような役割
コンサル経験: 内部監査を真面目にやっている企業ほど外部監査での指摘が少ない。
11.4. 経営層の積極的な関与がモチベーションを保つカギ
理由: 経営者が「セキュリティ大事だ」と言えば予算も付き、社員の理解も深まりやすい。
実例: トップが自ら研修に参加し、コメントを出す会社は、セキュリティ事故が少ない傾向。
12. 他社成功事例:質問例を活用しスムーズに外部監査を乗り切った企業の話
12.1. 製造業A社:短期プロジェクトで書類整備&社員教育を徹底
背景: 従業員100名、外部監査まで3か月しかなかった
手法: 監査員が質問しそうな項目をリスト化→担当者ごとに「何をどう説明するか」まとめる→週1のチームミーティングで進捗確認
成果: 初回審査で大きな不適合なし。監査員から「準備がしっかりしている」と評価。
12.2. IT企業B社:クラウドツール導入で証拠管理が楽になり、監査員も納得
取り組み: 既存のWordやExcelで散乱していたISMS文書をクラウドのドキュメント管理ツールで一元化
結果: 監査時に「どこに何があるか」すぐ示せて、質問にもスピーディーに回答。大幅に時間短縮。
12.3. サービス業C社:事前リハーサルで質問想定を共有し、大きな指摘ゼロ
対策: 管理責任者が過去の監査レポートや観察事項を元に「想定質問集」を作成し、関係部署で回答を確認。
成果: 本番ではテンポよく受け答えができ、指摘事項は数点の観察のみで済んだ。
13. よくあるQ&A:外部監査の質問対応に関して
13.1. 「質問に答えられないと不合格になるの?」
回答: 必ずしも不合格とは限りませんが、不適合や観察事項になる可能性が高い。原因を分析し、改善策を示せばクリアできるケースが多い。
13.2. 「口頭説明だけでなく、書類や記録はどの程度見せるべき?」
ポイント: 「運用証拠」となる書類やログ、会議記録などを提示するのが理想。口頭だけだと監査員も確信が持てず指摘を出しがち。
13.3. 「観察事項・軽微な指摘とは何か?」
解説: 不適合ほど深刻ではないが、今後改善したほうが良い点。次回の監査で未改善だと不適合へ進展しやすいので注意。
13.4. 「1度指摘を受けたら次回監査で厳しくなる?」
回答: 同じ問題を放置すれば、指摘が大きくなる可能性はある。逆にしっかり是正すれば評価が上がることも多い。
14. まとめ:初めてのISMS外部監査を慌てず乗り切るためのポイント
14.1. 事前に想定問答&必要書類を準備
リハーサル: よくある質問(リスクアセスメント、文書管理、教育など)を想定し、社内で練習しておく。
必要書類: ポリシー、リスク一覧、アクセス権限表、インシデント記録など、スムーズに提示できるようにファイル整理。
14.2. 社内コミュニケーションで情報共有を徹底
担当者不在や知らない間にルールが変わっていたなどを防ぐため、常に最新情報を共有。
内部監査や定例会議で進捗を確認しあうと、外部監査もスムーズ。
14.3. 不適合が出ても次のPDCAで改善すれば問題なし
不適合=終わりではなく、根本原因を分析し、改善を次の審査で示せば認証維持は可能。
コンサル経験: 「あれが指摘されたらどうしよう」と不安になるより、「気づきを得られるチャンス」と考える企業が長期的に強いISMSを持つ傾向にあります。
15. 参考リンク・関連資料
外部監査に役立つツール・テンプレート配布サイト
JIPDEC ISMS(日本情報経済社会推進協会)
認証機関やコンサル企業の事例ページ
BSI, LRQA, JQA など大手認証機関の事例紹介
おわりに
ISMS外部監査の最大の目的は、**「企業が本当に情報セキュリティを守り、リスクを減らす運用をしているか」**をチェックすることです。初めての方は「何を聞かれるの?」「どう答えればいい?」と心配するかもしれませんが、ここで紹介した質問例と対策を参考に準備すれば、落ち着いて対応できます。
重要なのは、書類と現場の一致、担当者の理解、そしてPDCAでの継続的な改善。
指摘された場合も、それを学びに変えて次のステップアップにつなげましょう。
最初から完璧を目指すより、「外部監査は気づきを得るチャンス」と考えて、スモールステップで成熟度を上げる方が長期的に強いISMSが作れます。
ぜひ、本記事のヒントを活かして、初めてのISMS外部監査をスムーズに乗り越えてください。必要に応じて専門家のサポートを受けながら、セキュリティと信頼性を高める第一歩を踏み出しましょう!
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている。
Commenti