▼ 目次
1. はじめに
1.1. 記事の目的と対象読者
本記事では、ISMS(ISO/IEC 27001)の現地審査について、審査員が何をチェックするかから当日までの準備、そしてよくある指摘例と対策までをわかりやすく解説します。
想定読者:
初めてISMSの審査を受ける企業の担当者や管理責任者
「現地審査って何を見られるの?どう対策すればいい?」と不安を抱える初心者
ISMS運用中だが審査で毎回指摘が多く、対策を見直したい方
この記事を読めば、ISMS現地審査をスムーズに乗り切るポイントがつかめ、認証取得やサーベイランス審査でも慌てず対応できるようになります。
1.2. なぜISMSの現地審査が重要なのか
ISMS認証では、書類審査(ステージ1)と現地審査(ステージ2)が行われ、審査員が実際の運用状況や社員の理解度を確認します。
コンサル経験談: 現地審査で「書類と運用が合っていない」「社員が何も理解していない」となると、大量の不適合を指摘されるケースが多いです。
結論: 現地審査は**書類だけでは見えない“実態”**を評価する場であり、合否に直結するので、きちんと準備すればスムーズに合格しやすくなります。
2. ISMS 現地審査とは?基礎知識をおさらい
2.1. ステージ1とステージ2審査の違い
ステージ1審査(文書中心): ISMSの文書類がISO27001の要求事項に合っているかを確認
ステージ2審査(現地審査): 実際に社員や現場を見て、運用が文書通りに進んでいるかを確認
ポイント: ステージ1で問題を修正しておけば、ステージ2での指摘を減らせます。
2.2. 現地審査が行われるタイミング(初回認証・サーベイランス・更新審査)
初回認証: ステージ1→ステージ2の流れで実施
サーベイランス(年1回): 認証後、毎年どのくらい運用が維持・改善されているかを確認
更新審査(3年ごと): 再認証に向けた大きめの審査で、現地審査も含まれる
2.3. 審査員は何を重視しているのか:書類 vs. 運用実態
書類: ポリシーや手順書、リスクアセスメント表などが揃っているか
運用実態: 社員は手順を理解しているか、ルールは本当に守られているか
コンサル視点: “書類と現場の一致”が審査の最大ポイントです。
3. 現地審査前に必ず押さえておくべき準備項目
3.1. 文書整備と管理体制の最終チェック
文書: セキュリティ方針、運用規程、リスク評価表、内部監査報告書などが最新か確認
管理体制: 経営者(管理責任者)やISMS委員会、事務局などの役割が決まっているか再確認
コンサル経験: “古い版”の文書が残っていると審査員から混乱を指摘されるケース多数
3.2. 社員教育・周知徹底:質問に答えられるようにする
実務: 審査員は現場の社員に「パスワード管理はどうしてる?」など直接質問する
対策: 事前にミニ研修や想定問答集を共有。社員が全く答えられないと大きな指摘になる
3.3. 内部監査の有効活用:不備を事前に修正
内部監査: 本番前のリハーサル的な役割。書類と現場を突き合わせ、問題箇所を洗い出す
アドバイス: 内部監査の指摘リストは宝の山。現地審査前に改善しておくと大幅に指摘が減る
3.4. 経営者のコミットメントとトップインタビュー対策
経営者面談: 審査員はトップや管理責任者に、「ISMSをどう考えているか」「予算や支援は?」など質問
コンサル視点: ここで経営者が「セキュリティは大事」「投資している」と本気度を示すと、審査員の印象が良くなる
4. 審査員が必ず確認するポイント【具体例つき】
4.1. 情報セキュリティ方針・リスクアセスメントの整合性
例: ポリシーで「顧客データを最優先に守る」と書いてあるのに、リスク評価表で顧客データの優先度が低い → 矛盾
対策: ポリシーで謳う事項とリスクアセスメント結果の整合をチェックする
4.2. 運用規程(アクセス制御、パスワード管理、物理セキュリティなど)
パスワード規定: 長さ、更新頻度、二要素認証の有無など
アクセス制御: 退職者アカウント削除、権限付与ルール
物理セキュリティ: 入退室管理、サーバールーム施錠など
4.3. インシデント対応ルールと記録(過去の事故例があれば対策検証)
審査員視点: インシデントが起きたときにどう報告、どう再発防止策を策定したか
注意: 「インシデントがゼロ件だから何もない」で終わらず、未然防止や対応手順を確認される
4.4. 教育訓練計画・記録(受講率、受講内容の有効性)
事例: 「社員全員が年1回研修を受ける」と規程にある→実際に受講リストやテスト結果が存在するか
コンサル経験: 教育履歴が不十分だと「社員がルールを理解していない」と判断される可能性大
4.5. 内部監査報告・マネジメントレビュー議事録など
内部監査: 不適合や観察事項がどう処理されたかチェック
マネジメントレビュー: 経営者が結果を踏まえて何を決定し、どんなアクションをとったかが記録されているか
5. よくある指摘例と対策
5.1. 文書が実態と合っていない(形骸化)
失敗: 「USB禁止」と規定しながら、全員が日常的にUSB使用
対策: 内部監査やロールアウト前の試験運用で齟齬を早期発見・修正
5.2. 退職者アカウントや古いルールが放置されている
例: 退職者IDが残りっぱなし、廃止ルールが文書にまだ書いてある
解決: 定期的にアカウントリストと運用規程を棚卸しする
5.3. パスワードポリシーが遵守されていない
背景: 社員が同じパスワードを何年も使っている
コンサル視点: ルールを厳しくするだけでなく、ツール導入(パスワード管理ソフトなど)やフォローが必要
5.4. 従業員が手順を知らない・守っていない
例: 「挨拶しか出てこない」と審査員が面談で判明
対処: 教育再強化、定期周知、朝礼や社内SNSでルールをリマインド
5.5. 審査後の是正措置と再発防止策の取り方
流れ: 不適合(Major/Minor)指摘→原因分析→是正報告書提出→再審査
コンサル経験: 再発防止まで含めた丁寧な報告が、審査員に“この企業は本気だ”と思わせる
6. 当日の流れ:ISMS 現地審査のステップ別解説
6.1. オープニングミーティング:審査員と初顔合わせ
目的: 双方が審査範囲・スケジュールを確認し、質疑応答
ヒント: 茶菓子を用意しすぎる必要はないが、静かな会議室を確保し、担当者が時間管理を行う
6.2. 書類確認・質問(ポリシー・リスク評価・規程類)
審査員: まず文書確認しながら担当者に「この規程はどこで使われていますか?」などヒアリング
注意: すぐに該当ドキュメントを提示できるように、フォルダ構成を整理しておく
6.3. 現場巡回・ヒアリング(担当者インタビューなど)
例: サーバールームの施錠状況、PCデスク周りの物理セキュリティ、印刷物の取扱い
コンサル観点: “小さい不備”でも見つかると不適合になるので日頃から整頓を徹底
6.4. クロージングミーティング:審査員からのフィードバックと今後の方針
内容: 不適合、観察事項の概略をその場で伝えられる
対処: 重大な不適合があれば、いつまでに是正報告書を出すかのスケジュールを確認
7. 審査当日のインタビュー対策:担当者が気をつけるポイント
7.1. 経営者・管理責任者への質問と想定問答
例: 「ISMSに投資している理由は?リスクをどう考えていますか?」
解決: 経営者は“トップの意図”をしっかり答えられるようブリーフィングをしておく
7.2. 現場スタッフへのヒアリング内容と答え方
例: 「パスワードはどんなルール?」「USB使えますか?」
対策: 社員が規程の内容をざっくりでも理解している状態にしておく
7.3. 「答えられない」「わからない」を防ぐための社内情報共有
方法: 事前に想定質問リストをつくり、部署ごとに周知。Q&A集を配布
実務: モバイル端末ルール、廃棄手順、入退室管理など、特によく聞かれる
7.4. コンサル経験談:事前ロールプレイでスムーズに回答できるように
事例: 内部監査担当が審査員役になって模擬インタビュー → 本番で緊張を和らげる
8. ステージ1審査とステージ2審査の違い【ISMS審査の全体像】
8.1. ステージ1審査:文書中心の確認
要点: ISMS方針やリスクアセスメント手順、規程類の整合性がチェックされる
結果: 修正を指示される場合もあり、それを直してステージ2に臨む
8.2. ステージ2審査:現場巡回や運用実態の検証
本番: 書類と運用が一致しているか、社員がルールを理解しているかを重点チェック
コンサル所感: ここで不適合が多発すると取得延期になる恐れがある
8.3. サーベイランス審査(毎年)・更新審査(3年ごと)の流れ
サーベイランス: 毎年簡易的に運用を見直す審査。問題があると観察事項や不適合で指摘
更新審査: 3年目で再度本格的な審査。初回同様のプロセスが行われる
8.4. 審査計画の調整とスケジュール管理のコツ
実務: 審査日程を認証機関と調整、対象部署や拠点の順番を決める
注意: 前日に「資料が揃っていない」とならないよう、余裕を持った進行を
9. 事前に押さえるべき文書・記録の最終リスト
9.1. 必須文書(セキュリティ方針、リスク評価表、内部監査報告など)
例:
情報セキュリティ方針
運用規程(パスワード、物理セキュリティなど)
リスクアセスメント結果・リスク対応計画
内部監査報告書・是正措置記録
マネジメントレビュー議事録
9.2. 推奨文書(委員会議事録、教育訓練計画、外部委託先管理など)
主な例:
ISMS委員会の議事録
社員教育プログラムと受講記録
外部委託先リスト・契約書(SLA、NDAなど)
メリット: 詳しい記録があれば審査員も運用状況を理解しやすく、高評価を得やすい
9.3. どこに保管・誰が管理・更新履歴はどうつけるか
コンサル提案: 共有フォルダやクラウドで文書管理し、バージョン番号や改定履歴を残す→ 検索性も向上
10. 【成功事例】ISMS 現地審査をスムーズに乗り切った企業の話
10.1. 小規模IT企業A社:短期プロジェクト+社員ミーティングで不適合ゼロ
背景: 社員20名ほど、取引先からISMSを求められた
取り組み: コンサルを導入し、2か月かけて文書整備→ 社員全員で週1回のミーティングで想定問答を確認
成果: ステージ2当日も社員がスラスラ回答し、不適合指摘ゼロで合格
10.2. 製造業B社:内部監査で指摘を潰し切り、ステージ2当日も落ち着いて対応
アプローチ: 内部監査を厳しく行い、疑わしい点を洗い出し→ 全部修正した状態で審査に臨む
結果: 審査員から「ここまで準備が整っている企業は珍しい」と褒められ、外部監査も1日短縮
10.3. コンサル視点:成功企業に共通する“定期的な情報共有”と“トップの本気度”
キーワード: 「見える化」「定期的フォロー」「経営者の支援」 → 短時間で高品質なISMS運用が実現
11. 【失敗例】現地審査で大量の不適合を指摘されたケース
11.1. 部署によって運用がバラバラ、文書の温度差が激しい
現象: 営業部とIT部が別々にルールを作り、統一感がなく審査員も混乱
原因: ISMS委員会や事務局が機能していない。部署連携不足
11.2. 直前に書類を整えたが、社員が内容を理解していない
症状: 当日「そんなルール、知りません…」と現場が回答→ 大量の不適合
教訓: 文書作成だけでなく、教育・説明までやるのが審査攻略の肝
11.3. 対策:ロールプレイ的な模擬審査やミニ内部監査を活用し、ギャップを埋める
方法: 審査員役を社内スタッフやコンサルが務め、想定質問を出し合う→ 本番で落ち着いて対応可能
12. 現地審査後の是正処置とフォローアップ
12.1. 不適合(Major/Minor)の対応期限と報告書作成
不適合: 規格や自社ルールと大きく異なる点→ Major(重大)/ Minor(軽微)に分かれる
期限: 数週間~数か月内に是正報告書を提出し、改善を証明
12.2. 観察事項への対処:次回審査で不適合に発展しないよう注意
観察事項: 今回は不適合ではないが、放置すれば将来問題になる恐れ
実務: 審査後すぐに手をつけておけば、次回サーベイランスで評価が上がる
12.3. 改善活動を社内に定着させる仕組みづくり
ヒント: 年間計画に“改善策の進捗会議”を入れてこまめにチェック
コンサル経験: 審査後こそがスタート。ここで本気で改善する企業ほど、次回審査もスムーズ
13. 審査を成功させるための社内体制づくりとコンサル活用
13.1. ISMS委員会や事務局の設置で進捗管理を可視化
委員会: 各部署から代表を出し、月1回程度の進捗報告。問題点を早期に共有
効果: “誰が何をやるのか”が見えやすくなり、担当者任せを防ぐ
13.2. 社内リソース不足なら外部専門家の力を活用し負担を軽減
事例: 文書整備、内部監査リハーサルなどをコンサルにアウトソース→ 担当者の負担大幅減
アドバイス: 費用はかかるが、再審査や失敗リスクを防ぎ、トータルで時間とコストを節約できる
13.3. コンサルタントが教える「短期取得の秘訣」と“形骸化”を防ぐ方法
短期取得秘訣: 1) スコープ絞り込み 2) テンプレート活用 3) 集中プロジェクト(数か月)
形骸化防止: 取得後こそPDCAを回し続け、定期研修やミニ監査で“守られている”状態を維持
14. 専門用語解説:不適合・観察事項・是正処置・再審査など
14.1. 不適合(Major/Minor)の区別と影響
Major: 重大な欠陥 → 再審査や認証延期の恐れ
Minor: 軽微 → 期限内に是正報告すればOK
14.2. 観察事項:今後問題になりそうなポイント
対策: 放置すると次回審査で不適合になる可能性が高いため、早めに改善
14.3. 是正処置:不適合を直すだけでなく、再発防止策まで含める
原因分析: なぜ不適合が起きたかを深掘り → 真の対策を講じる
14.4. 再審査(フォローアップ審査)の流れと注意点
流れ: 指摘を是正後、認証機関と再審査日程を組む
注意: 短期間での対応が難しい場合もあるので、スケジュールに余裕を持つ
15. Q&A:ISMS 現地審査に関するよくある疑問
15.1. 「審査員は当日何を重点的に見るの?」
回答: リスクアセスメントが実運用と合致しているか、社員が手順を守れているか、セキュリティ管理が徹底されているかなど
15.2. 「部署や拠点が多い場合、どうスケジュールを組む?」
対策: 拠点ごとに日程を分けたり、メイン拠点で大半をカバーしつつ他拠点はサンプリング審査など
事前調整: 認証機関に拠点数や範囲を伝えて最適な計画を立てる
15.3. 「審査の途中で答えられない質問が出たらどうする?」
アドバイス: 「後で担当部署に確認します」と正直に伝え、必ず後追いで回答。適当に答えると不適合につながる恐れ
15.4. 「内部監査と現地審査の違いは?」
内部監査: 自社のメンバーや専門部門が自主的に運用をチェック
現地審査(外部審査): 認証機関が客観的に判定し、合否や指摘を与える
16. まとめ:ISMS 現地審査のポイントを押さえ、確実に合格しよう
16.1. 記事の総括:事前準備・当日対応・事後フォローの三段構え
事前準備: 文書最終確認、内部監査で不備潰し、社員周知
当日対応: 審査員の質問に落ち着いて回答、現場巡回に備えて整理
事後フォロー: 不適合や観察事項の是正・報告
16.2. 社員が理解・実行できるルールこそ審査員に高評価
アドバイス: やりすぎの規定は形骸化するので、現場に合ったルールを設定→社員が運用しやすい
16.3. 運用定着でこそ意味がある。認証後もPDCAを続け、リスク低減を実現
メッセージ: ISMSは取得がゴールではなく、企業を守る仕組み。審査を“改善の機会”として活かし、長期的な事故防止と信頼度向上につなげましょう
おわりに
ISMS現地審査は、企業が日々の運用で情報セキュリティをしっかり実践しているかをチェックする重要な場です。
事前準備で社員がルールを理解し、書類と運用が合っていることを確認
当日は審査員に的確に答え、現場を整然と見せる
事後は不適合への是正措置を丁寧に行い、次回サーベイランスや更新審査に備える
こうした流れを意識すれば、認証取得もスムーズに進み、長期的にリスクを下げながら企業の信頼度を高める効果も得られます。ぜひ本記事を参考に、ISMS現地審査への対策を万全にしていただき、確実な合格と運用定着を目指してください。
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている。
Comments