▼ 目次
1. はじめに
1.1. 記事の目的と想定読者
本記事では、ISMS(ISO/IEC 27001)の認証取得後に必要となる「更新審査」と「継続審査(サーベイランス審査)」の違いを中心に、認証を長期的に維持するためのポイントをわかりやすく解説します。
こんな人におすすめ
既にISMSを取得したばかりで、これからの審査スケジュールを知りたい方
「更新審査」と「継続審査(サーベイランス)」って何が違うの?と疑問に思っている初心者
長期的なISMS運用に悩み、不適合や再審査のリスクを減らしたい担当者
この記事を読むと、年次サーベイランスや3年ごとの更新審査で見られる項目や注意点が理解でき、ISMS認証の維持をスムーズに行うためのヒントが得られます。
1.2. ISMS認証取得後も審査が続く理由とは
ISMSは、一度取得して終わりではありません。
ISO27001の考え方: リスクや業務環境は常に変化するため、“一度だけの審査”ではなく継続的にPDCAサイクルを回し、情報セキュリティを維持・向上し続ける仕組みが必要とされています。
コンサル経験談: 「認証取れたから大丈夫」と放置した企業が、年次サーベイランスや更新審査で大量の不適合を出し、再審査費用がかさんだケースも珍しくありません。
2. ISMSの認証サイクルを理解しよう:更新審査・継続審査・サーベイランスの位置づけ
2.1. ISMS認証取得後の3年サイクル:初回審査から更新まで
初回審査: ステージ1(書類審査)→ステージ2(現地審査)に合格するとISMS認証が発行
3年間有効: 認証は通常3年ごとに更新手続きが必要。その間、毎年サーベイランス(継続審査)が行われます
更新審査: 3年目に行う「再認証」に近い手続き
2.2. ステージ2合格後の年次サーベイランス審査とは?
サーベイランス審査(年次審査): 毎年1回、運用が継続されているかの確認
実施内容: ステージ2ほど深くないが、新たに変わった業務フロー、追加リスク、前回指摘事項を重点的にチェック
コンサル視点: 年次サーベイランスを侮ると不適合が重なり、最悪の場合認証停止の可能性もある
2.3. 「継続審査」と「更新審査」を混同しやすい理由
用語混乱: 「継続審査」という言葉が、サーベイランス全般を指す場合もあれば、3年目の更新審査を指すと解釈されることも
ポイント:
毎年の審査 = サーベイランス(継続審査)
3年ごとの大規模審査 = 更新審査
3. 更新審査と継続審査の基本的な違い
3.1. 更新審査:3年目に行う“再認証”のような位置づけ
概要: 取得から3年目に、ステージ2並みの審査が行われる。
チェック: これまでのサーベイランスで出た指摘は改善されたか、リスク評価やルールは現行業務と合っているかなど、大きめの検証
3.2. 継続審査:サーベイランス審査(年1回)も含めた運用チェック
頻度: 初回認証後、1年目・2年目に年次サーベイランス審査を実施
内容: 前回審査からの改善状況、新たな業務変更部分、前回指摘された観察事項の処理など
3.3. コンサルタント視点:審査の深さや日数にどう違いが出るか
共通点: 書類と運用の整合性を問われる
相違: 更新審査は3年間の運用まとめを評価するため、審査日数や範囲が広い傾向。サーベイランスは重点項目や変更点を中心にチェック
4. 年次サーベイランス審査の流れとポイント
4.1. 1年目・2年目のサーベイランスでチェックされる内容
主要項目:
リスクアセスメントの定期見直し
インシデント対策(起きた場合の再発防止策)
文書や手順の更新履歴(組織変更や法改正対応など)
コンサル経験: 観察事項や軽微な指摘が放置されていると大きな不適合になるリスク
4.2. サーベイランスで不適合が出る場合・その処理方法
不適合: Major(重大) or Minor(軽微)に分類
流れ: 審査員から指摘→ 指定期限内に是正報告書を提出→ 再審査の必要有無が判断される
注意: Majorが複数出ると、認証停止や取り消しの恐れ
4.3. サーベイランス準備の実際:内部監査や文書更新のタイミング
実務: 年度初めに内部監査→ 指摘事項を直してサーベイランスに備える
担当者のコツ: 審査予定日から逆算して1~2か月前に改定作業を終わらせ、社員への周知を徹底
5. ISMS運用視点から見る更新審査と継続審査の大きな違い
5.1. 更新審査は「ステージ2審査並み」の本格チェック
理由: 3年分の運用履歴が対象→ 小さな観察事項も積み上がっていれば大問題に
コンサル談: 更新審査では、サーベイランスで見逃されてきた不備が一気に不適合になりやすい
5.2. 継続審査(年次審査)で特に見られる運用実態の変化
ポイント: 「前回との比較」が重視される。リスクが増えたのに対策していない場合など
例: 新規拠点や新システム導入があれば、運用規程やリスク評価を更新しているか
5.3. 経営者のコミットメントとリスクアセスメントの継続見直し
審査員: 経営者インタビューで「PDCAをちゃんと回しているか?」「改善に投資しているか?」をチェック
リスクアセスメント: 1年に1回以上見直すルールが機能しているかが審査の注目点
6. どこで混乱する?よくある認証サイクルの誤解とトラブル例
6.1. 「3年後にしか審査がない」と誤解 → サーベイランスを疎かにして不適合量産
事例: 初回合格後、「3年後まで何もない」と放置→ 1年目サーベイランスで大量指摘
対策: 毎年のサーベイランスを“運用見直しの機会”と捉え、小さな改善を積み重ねる
6.2. 更新審査ギリギリまで放置 → 書類・運用整合性が合わず再審査費用発生
背景: 3年目が近づいて慌てて書類更新や社員教育 → 間に合わずにMajor不適合
解決: 年間スケジュールを作り、最低でも3か月前には本格的に見直し開始
6.3. コンサルタント経験談:スケジュール管理と年間計画が鍵
アドバイス: 「どの月に内部監査を行い、いつまでに是正を完了させるか」を年初に立てると失敗しにくい
7. 更新審査・継続審査を乗り切るための実務的なステップ
7.1. 年間計画(PDCAサイクル)を立て、内部監査を効果的に活用
提案: 1) 年度初めにリスク見直し・文書改訂 2) 中間で内部監査→ 改善 3) 審査本番
メリット: 常に最新状態を保つ→ 審査で大幅な修正が不要
7.2. 文書管理:改定履歴やバージョン管理をしっかり行う
実務: セキュリティポリシーや規程が古いまま担当者が更新忘れ → 「どれが正しい版?」と混乱
解決: 改訂日や承認者を明記し、バージョンを明確に。共有フォルダやクラウドで一元管理
7.3. 社員教育・周知で形骸化を防ぎ、運用実態を維持
ポイント: 新入社員や異動スタッフへのセキュリティ教育を定期的に実施
コンサル視点: 教育は地味だが、社員がルールを守らないといくら文書が完璧でも不適合になる
8. 指摘されやすいポイントとその対策【更新審査・継続審査共通】
8.1. リスクアセスメントと運用規程の不整合(形骸化)
事例: アセスメントでは「メール誤送信リスクが高い」と書いてあるのに、規程で添付ファイル対策がない
対策: 定期的にアセスメント結果を規程へ反映し、周知徹底
8.2. 退職者アカウントや物理セキュリティの放置
失敗: 過去に退職した人のアカウントがまだ有効、サーバールームが無施錠
是正: 定期的にアカウント洗い出し、鍵やIDカードの管理ルールを見直す
8.3. 教育履歴不備やマネジメントレビューの形だけ運用
よくある: 研修を計画したが参加記録なし、レビュー議事録が作られていない
対応: 研修後の参加者リストと内容記録を残す。レビューは書面で決定事項を残す
8.4. 実務対策:改善リストの作り方と社内フォローアップ
方法: 内部監査やサーベイランスで出た指摘をリスト化→ 担当者・期限を設定して進捗管理
効果: 次回審査までにスムーズに対策完了することで、指摘の再発を防げる
9. 更新審査で押さえるべき追加のチェック項目
9.1. 3年分の運用データやインシデント履歴、是正措置の評価
審査員: 「この3年間でどんなインシデントがあった?どう対応した?」を深掘り
コンサル体験: 1年目・2年目に軽微な観察事項が改善されているか大きく問われる
9.2. 経営者インタビューでの“将来のセキュリティ方針”確認
例: 新事業計画や海外展開など、リスクが増える場合は事前にリスクアセスメントを拡張しているか
注意: トップが「知らない」と言うと大きな不適合のリスク
9.3. サーベイランス審査での観察事項が対処されているかが鍵
失敗: 観察事項を放置→ 更新審査時にMajor不適合に発展
対策: 観察事項も小さいうちに改善リストに入れ、年度内に対応完了を目指す
10. サーベイランス審査特有の運用負荷と対策
10.1. 毎年やってくるサーベイランスに向けた“常時運用”の意識
コンサル論: 1年間放置して直前に慌てるパターンがもっとも危険
おすすめ: 「日々の運用の中で小さな見直しを行い、常に最新状態でいる」考え方
10.2. 大規模企業での拠点ローテーションと審査範囲の工夫
事例: 全国拠点を持つ企業はサーベイランスで拠点をローテーション審査し、更新時に全拠点チェック
効果: 毎年の負担を分散しつつ、全拠点が交互に審査対象になるため常時改善が回る
10.3. コンサルの視点:年1回の外部審査を「運用見直しのチャンス」として活用
メリット: 外部視点でチェックしてもらえる→ 新たなリスクや改善点に気づける
心構え: マイナスではなくプラスに捉え、社員の意識を高める機会に
11. 企業規模や業種別に見る更新審査・継続審査の実態
11.1. 小規模企業:担当者兼務で運用が大変→外部支援やテンプレ活用
例: 従業員20名ほどで1人がISMS担当→ 他業務と掛け持ちがつらい
対策: コンサルに文書整備や年次監査の補助を依頼し、負担を分散
11.2. 中堅・大企業:拠点数が多いほど年次サーベイランスも手間増
実例: 10拠点以上をローテーション審査し、どの拠点も最低3年に1回は深く見られる
管理方法: 担当部署ごとにISMS委員会を作り、月次で進捗を報告する仕組みづくりが重要
11.3. IT業界など:クラウド運用やリモートワーク増加時の追加リスク対応
現状: 在宅勤務のPCセキュリティ、クラウドサービスの責任分界点などが焦点
審査員: 「リモートでどうアクセス制御している?」などを重点チェック
12. 【成功事例】スムーズに更新審査・継続審査をクリアした企業のストーリー
12.1. IT企業A社:PDCAを月次で回し、サーベイランスで指摘ゼロ
背景: 小規模ベンチャーだが、リスク評価を頻繁にアップデート
やり方: 月1回のセキュリティ運用ミーティングで小さな不備を修正→ サーベイランスでも常に最新状態
結果: 「ほぼ完璧な運用」と審査員に高評価され、指摘事項なし
12.2. 製造業B社:内部監査の“強化策”で更新審査もノートラブル
アプローチ: 年2回の内部監査を導入し、1回目で見つけた不備を2回目で再チェック
成果: 更新審査では過去3年分の是正措置履歴もしっかり整理済み → 不適合0件
12.3. コンサル視点:成功企業に共通する“経営トップの本気度”と“現場の協力”
結論: トップが主導してリスクマネジメントを重視する文化を作り、現場が自発的に守る体制が整うとスムーズに審査合格
13. 【失敗例】更新審査で大量の不適合を出した企業の教訓
13.1. 「前回サーベイランスの指摘を放置」→更新審査で大きな不適合
詳細: 観察事項やMinor指摘を「大丈夫だろう」と放置→ 3年後の更新審査でMajor不適合連発
コスト: 再審査費用と追加コンサル費用が高額になる
13.2. 経営陣が形だけの合意で社員がルールを実践していない
現場: 「ポリシーには書いてあるけど実際は守られていない」という声多数
結果: 審査員が現場ヒアリングで運用不在を見抜き、不適合量産
13.3. 対策:年次審査の指摘を次回更新までに確実にフォローアップする方法
方法: 指摘箇所リストをISMS委員会で管理→ 担当者と期限を決め、定期報告
ポイント: “小さな指摘ほど早期に潰す”が長続きする運用の秘訣
14. 認証維持を成功させるためのコンサル活用と社内体制づくり
14.1. “認証取得後”こそコンサル支援で文書や監査の定期見直しを楽に
事例: コンサルが年1回のサーベイランス向けに書類チェック→ 自社担当者の作業大幅削減
効果: 大幅な不適合リスクを下げつつ、短い時間で運用を回せる
14.2. ISMS委員会や運用チームを継続運用の中心に据える
メリット: 部署代表が集まり、改定事項やリスクアセスメント結果を共有→ 全社で一貫した運用
コンサル所感: 委員会が形骸化すると、更新審査・継続審査で齟齬が目立つ
14.3. コストを下げつつ運用の質を高める工夫(テンプレ、タスク管理ツールなど)
実務例: TrelloやAsanaで改善タスクを管理→ 担当者と期限を見える化
テンプレ: ポリシー、規程類、監査チェックリストをテンプレ化して使い回しし、作業効率アップ
15. 専門用語解説:更新審査・継続審査・サーベイランス・再認証 など
15.1. 更新審査(Re-certification)とそのタイミング(3年目)
意味: 3年ごとの“再認証”プロセス。ステージ2並みの審査が行われ、合格でさらに3年延長
重要: ここで大量不適合が出ると認証取り消しリスク
15.2. 継続審査(年次サーベイランス)との違い
継続審査: 毎年1回のサーベイランスを指す。チェック項目は絞られるが、運用に大きな不備があると厳しい指摘
更新審査: 3年まとめて評価する“本格”再認証
15.3. 再認証・Major不適合・Minor不適合の意味
再認証: 更新審査合格で新たな認証書が発行される
Major不適合: 大きな欠陥。期限内に是正できないと認証停止の恐れ
Minor不適合: 軽微な問題。期限内に是正報告すればOK
15.4. インシデント・是正措置・観察事項との関連
インシデント: 情報漏えいやシステム障害などセキュリティ事故
是正措置: インシデントや不適合を改善し、再発防止策を講じる
観察事項: 今回は不適合ではないが、将来問題になる恐れ
16. Q&A:ISMS更新審査・継続審査の違いに関するよくある疑問
16.1. 「更新審査が3年に1度で、サーベイランスは毎年?面倒では?」
回答: 年1回のサーベイランスは短時間で済むケースも多い。更新審査は大きい審査だが3年に1回だけ
対策: 毎年少しずつ改善しておけば、更新時に苦労しない
16.2. 「サーベイランスでも大きな指摘があれば認証取消のリスクある?」
答: Yes。年次審査でMajor不適合が出て、是正が認められない場合は認証停止や取消の可能性がある
教訓: サーベイランスは“軽い”と思わず常に運用維持を意識
16.3. 「会社が拡大して拠点が増えた場合、更新審査の範囲はどう変わる?」
実例: 新拠点もISMSスコープに追加され、審査範囲が広がる。場合によっては追加の日数が必要
対応: 拠点追加ごとにリスク評価と文書整備を行い、早めに認証機関に相談
16.4. 「継続審査の準備と更新審査準備は何が違う?」
ポイント: 更新審査は過去3年分の運用を総合チェックするため、準備量が多い
コンサル視点: 継続審査は前回からの差分を中心に見られやすい
17. まとめ:ISMS 更新審査と継続審査の違いを理解して、認証を長期的に維持・活用しよう
17.1. 記事の要点:両審査の目的・スケジュール・準備ポイントのまとめ
継続審査(サーベイランス): 毎年のチェックで“運用を途切れさせない”
更新審査(再認証): 3年ごとの大規模審査。3年分の実績を総合評価
共通: PDCAとリスク管理を回し続ける姿勢が合格のカギ
17.2. 審査ごとにPDCAを回し続けることでリスク軽減&信頼度UP
説明: 一度取ったISMSを形骸化させず、社員教育や内部監査を活用して改善を繰り返す → 実際に事故防止と企業信用度アップにつながる
17.3. 企業規模や業態に合わせた対応策を検討し、専門家の助言も活用
アドバイス: 大企業なら拠点ローテーション審査、小規模なら外部コンサルで負担軽減など、スケールに合った方法を選ぶ
結論: 更新審査と継続審査をうまく乗り切ることで、ISMSを“実用的なセキュリティ体制”として確立し続けることが可能
おわりに
ISMS更新審査と継続審査(年次サーベイランス)は、認証取得後も企業がきちんとリスクを管理できているかを確かめる重要なポイントです。
毎年のサーベイランスで小さな不備を修正し、3年目の更新審査で“総合的な維持状況”をクリアすれば、企業信用度とセキュリティ水準を長く保てます。
「とりあえず合格した後は放置」で終わると、1年目や2年目で不適合が増え、最終的に再審査費用や認証取り消しリスクが高まることも。
内部監査や社内教育を活用し、PDCAを回し続けるとともに、必要なら外部の専門家をうまく使って運用負担を減らし、確実な認証維持と情報リスク低減を両立させましょう。
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている。
Comentarios