▼ 目次
1. はじめに
1.1. 記事の目的と想定読者
本記事では、ISO27001(ISMS)の内部監査において使える質問例を部門別に整理し、さらによくある不適合への対策もわかりやすく紹介します。
想定読者:
これからISMS認証を取得・運用する企業の内部監査担当者
すでに運用中で、より充実した質問リストを作りたい初心者・中級者
部門ごとにどんなチェックをすればよいか迷っている方
1.2. 内部監査がISO27001で重要視される理由
内部監査: ISMSが実際に機能しているかを社内の視点で確認する仕組み。
役割: リスクが正しく管理されているか、規定と運用が合っているかをチェック→ 外部審査やマネジメントレビューにも活かせる情報を集められる。
コンサル視点: 内部監査が弱い企業は、外部審査で不適合を多く指摘されることが多い。また、実際のセキュリティ事故を未然に防ぎにくい。
1.3. 本記事で学べること(部門別質問例・不適合の典型対策など)
部門別に、総務・人事・IT・営業・経営層それぞれでどんな質問を投げかけると有効か、具体的例をたくさん紹介。
不適合の典型パターンと対策も解説し、実務で陥りがちな落とし穴を回避できるようサポート。
2. ISO27001内部監査の概要
2.1. 内部監査の役割:ISMS運用のPDCAを回す要
PDCAサイクル:
Plan(計画) → ISMSのルールやリスクアセスメントを作る
Do(実行) → 日常業務で運用
Check(評価) → 内部監査でチェック、外部審査やマネジメントレビューで再評価
Act(改善) → 指摘をもとに是正処置・運用改善
重要性: 内部監査が形骸化すると、実際のリスクを見逃しやすくなるため、適切な質問リストと調査が欠かせない。
2.2. 対象範囲と頻度の決め方
対象範囲: 会社全体、またはISMS適用範囲に入れている部署やシステム。時にはサプライヤーも対象となることも。
頻度: 一般的に年1回は必ず。リソースがあれば半年に1回、もしくは監査範囲を回しながら複数回に分ける。
コンサル談: リスクが高い部門(IT、開発、顧客情報を扱う部署)は、年2回など重点的に監査する企業が多い。
2.3. 監査員の選定と必要なスキル
原則: 自部署の監査は利害関係を避けるため別部署や第三者が行うのが好ましい。
必要スキル:
ISMS規格の基本理解(管理策、PDCA)
コミュニケーション能力(疑問点を引き出す質問力)
リスクを見抜く感覚(技術面、運用面、人的ミスの両面を把握)
実務例: 中小企業では兼任が多いが、外部コンサルに部分的に手伝ってもらうケースもある。
3. 監査の進め方:基本ステップと全体の流れ
3.1. 事前準備(監査計画・チェックリスト作成)
監査計画: いつ、どの部署を監査するか、どの管理策を重点的に見るかを決める。
チェックリスト: 事前に質問リストや確認ポイントを作成→ 当日漏れなく確認。
コンサル視点: チェックリストを使うと監査時間を短縮でき、質問の質が安定する。
3.2. 監査当日の流れ(オープニングミーティング~現場ヒアリング~クロージング)
オープニングミーティング: 監査目的、スケジュール、監査範囲を担当者に説明。
現場ヒアリング: 部門長やスタッフから状況を聞き、証拠(ログ、文書、画面など)を確認。
クロージングミーティング: 監査員が確認結果を共有し、発見事項を口頭で伝える。
ポイント: スタッフが構えることなく、リラックスして本音を話してもらう雰囲気づくりが大事。
3.3. 監査結果のまとめ方と報告手順
監査報告書: 不適合・観察事項・改善提案を整理し、部門や経営層にフィードバック。
フォローアップ: 指摘事項の是正計画を立て、期限内に対応されているかを追う。
コンサル談: 報告が曖昧だと次回監査でも同じ指摘が繰り返され、認証審査でも不適合になるリスクが高い。
4. 質問例の作り方:どんなポイントを尋ねれば良い?
4.1. リスクベースの発想:リスクアセスメントとの連動
リスクアセスメントで洗い出した重要リスクを中心に質問を設定すると効果的。
例: 「個人情報を扱う部署は保管ルールを守っているか?」など、リスク高い項目を重点的に。
効果: 質問がリスクと直結するため、監査結果が次の改善に繋げやすい。
4.2. 管理策(附属書A)を基にしたチェックリストの作成
ISO27001附属書A: 組織・人的・物理・技術的などの管理策一覧。
具体例: A.7.2「人事セキュリティ」やA.9.1「アクセス制御」などを見て、それぞれ質問事項を作成。
コンサル視点: 規格の文言を丸写しでなく、社内ルールに紐づいた実際的な質問にアレンジを。
4.3. よくある不適合を先回りして把握するメリット
よくある不適合例: 退職者の権限が残っている、パスワードポリシー無視、物理入退室管理が緩いなど。
先回り利点: あらかじめ質問に組み込むと漏れが減り、監査精度が上がる。
事前対策: 監査中に気づいたら即是正が可能→ 外部審査での指摘を減らせる。
5. 【部門別】質問例:総務部・人事部・IT部門・営業部・経営層 ほか
5.1. 総務部向けチェックリスト & 質問例
主な担当領域: 物理セキュリティ、備品管理、来客対応、文書保管など。
チェックポイント例:
入退室管理
「入退室ログはどのように保管・監視していますか?」
「カードを紛失した場合の対応手順は?」
「どの部署が鍵を管理? 誰が発行権限を持つ?」
機器管理・廃棄手順
「退役PCやUSBの廃棄方法は?データ消去手順を確認させてください」
「廃棄証明書などの記録はありますか?」
来客対応
「受付で身元確認やIDバッジの貸与はどのように行っていますか?」
「受付名簿や来訪者ログは必要最小限の情報で処理されていますか?」
不適合対策のヒント:
入退室記録の見直し、紛失カードの失効手順が明確か、物理的施錠や監視カメラの運用が実態と一致しているか、など。
5.2. 人事部向けチェックリスト & 質問例
主な担当領域: 採用・退職時のアカウント管理、雇用契約、セキュリティ教育など。
チェックポイント例:
採用・退職時の手続き
「退職者のアカウントは退職当日に停止・削除されていますか?具体的に誰が作業?」
「部署異動の際、不要権限が残っていないか定期的に点検していますか?」
セキュリティ教育・研修
「新入社員向けの情報セキュリティ研修は必須ですか?内容はどうなっていますか?」
「フィッシングメール訓練など定期的に行っているでしょうか?」
契約書・機密保持契約(NDA)
「入社時にNDAを締結していますか?保管場所と更新の仕組みは?」
「社員が守らない場合の懲戒規程をどのように周知していますか?」
不適合対策のヒント:
退職日付のアカウント削除が漏れているケースが多い→ システム管理者との連携を強化する。
研修資料や受講記録を残さない→「形だけでなく記録を取る仕組み」が必要。
5.3. IT部門向けチェックリスト & 質問例
主な担当領域: アクセス制御、ネットワークセキュリティ、ログ管理、バックアップなど。
チェックポイント例:
アクセス制御
「パスワードポリシー(長さ・更新頻度)はどう設定? 遵守率をモニタしていますか?」
「重要システムに二要素認証は導入していますか?」
ログ管理・監視
「サーバーログ、ネットワークログはどこに保管? どれくらいの期間保持?」
「不審なログインがあった場合の通知は自動化されていますか?」
バックアップ・災害対策
「バックアップの取得頻度と保存場所は? 復元テストは定期的に実施?」
「クラウドを使う場合、責任分界点とSLAは理解していますか?」
不適合対策のヒント:
パスワードの強度が社内規定と異なる、ログ保存期間が短すぎる、バックアップは取っているが復元テストをしていない、など典型事例。
5.4. 営業部向けチェックリスト & 質問例
主な担当領域: 顧客データ管理、営業資料の取り扱い、在宅勤務時のルールなど。
チェックポイント例:
顧客情報保護
「顧客リストの保管はどこ? パスワード保護や暗号化をしている?」
「メールで顧客データを送る場合、暗号化やパスワード設定は必須ですか?」
資料管理・電子ファイル共有
「営業資料や見積書はファイルサーバーに保存? アクセス権は最小限?」
「印刷や紙資料の廃棄ルールは徹底していますか?」
外出先・在宅勤務のルール
「社外で顧客情報を閲覧する場合、VPNや安全な接続手順を守っていますか?」
「在宅勤務時のPCロック、パスワード管理はどう徹底してる?」
不適合対策のヒント:
顧客情報漏えいが企業の信用を大きく損ねるリスクに→ 営業部の持ち出し資料やメール送付ルールを厳格にし、報告を徹底。
5.5. 経営層(トップマネジメント)向けチェックリスト & 質問例
主な担当領域: リスクアセスメントへのコミット、セキュリティ投資判断、マネジメントレビュー。
チェックポイント例:
リスク管理方針
「直近のマネジメントレビューで、どのリスクを優先度高と判断しましたか?」
「セキュリティ予算をどう確保し、どこに重点配分していますか?」
方針・役割
「情報セキュリティ方針はトップ自ら明確に発信していますか?」
「部門間の連携を促す仕組みは? 経営会議で定期的にセキュリティ話題を出していますか?」
インシデント発生時の対応意思決定
「重大事故が起きた場合の緊急体制や報告ルートを把握していますか?」
「マネジメントレビューで予算や方策を迅速に決める仕組みは?」
不適合対策のヒント:
経営層がセキュリティを他人事にしていると、ISMSが形骸化→ マネジメントレビューの議事録や決定事項が曖昧になりがち。
6. よくある不適合の典型パターンと対策
6.1. 文書や規程類が形骸化している・現場運用と乖離
原因: 紙の上だけのルール、現場は「知らない」「読んでない」
対策: 社内への周知を徹底(eラーニング、朝礼共有)、内部監査で現場確認を強化
6.2. 退職者や異動者の権限削除ミス
原因: 人事部とシステム管理が連携不足→ アカウントや権限を放置
対策: 退職・異動リストを定期的にIT部門へ送る仕組み + アカウント自動停止ツールを導入
6.3. インシデント報告体制が機能していない
原因: 報告ルートが複雑、または「報告しても誰も動かない」風土
対策: 報告フォームや緊急連絡先を一本化、フィッシングテストなどで社員が報告しやすい文化づくり
7. 内部監査のコツ:質問で引き出す“本音”と改善に繋げる方法
7.1. “Yes/No”だけでなく、根拠や実例を尋ねる工夫
悪い例: 「パスワードは定期的に変更してますか?」「はい」だけのやりとり
良い例: 「いつから変更していない? 具体的にシステムログを見せてもらえますか?」など証拠を確認
結果: 実際の運用状況が掴みやすく、形だけの回答を防止
7.2. 監査員が現場と敵対関係にならない進め方(コミュニケーション手法)
ポイント: 内部監査員は「批判者」ではなく「改善アドバイザー」の姿勢で質問→ 相手に安心感を与える
コンサル経験: 「こういう事例を他社で見たが、何か似たリスクはない?」と話を振ると、担当者から本音が出やすい
7.3. 監査後のフォローアップ:不備の報告&改善アイデアの共有
報告: 監査結果を報告書でまとめ、改善提案もセットで提示
実行: 部門が改善したいときに相談できる窓口を作ると、次の監査までに対策が進む
結論: 内部監査は問題を指摘して終わりではなく、改善につなげる橋渡しとして活かす
8. 監査での質問例を活かし、認証審査に備える流れ
8.1. 内部監査結果から不適合や観察事項を洗い出し → 本番審査前に是正
ステージ1審査前: 内部監査で大きな問題を見つけて修正→ ステージ1(文書審査)で指摘を最小化
ステージ2審査前: 最終調整で、小さな観察事項をクリア→ 認証獲得がスムーズ
8.2. ステージ1審査・ステージ2審査で見られる証拠類(議事録・質問リストなど)
審査員が見るポイント: 内部監査で「どんな質問をしたか? どういう結果が出たか?」→ 証拠として議事録やレポートが必要
コンサル視点: しっかりした質問リストとフォローアップ記録がある企業は、審査でも評価が高い
8.3. プロのISOコンサル視点:内部監査がしっかり機能している企業は外部審査での指摘が少ない
理由: 事前に不備を社内で潰せるから、外部審査で「想定外の指摘」が出にくい
効果: 審査費用・再審査の負担軽減にもつながり、認証取得後の運用安定度も向上
9. 他社事例:内部監査の質問例を充実させて成功したストーリー
9.1. IT企業A社:部門別の質問リストを標準化 → 監査時間を半分に削減しつつ不備ゼロ
背景: 拠点が全国に分散、内部監査が毎回バラバラで効率が悪かった
取り組み: 部門ごとに共通の質問リスト(本記事のような形)を作り、監査員が使い回す
成果: 平均監査時間が大幅に短縮し、監査レポートの質も高まって外部審査でも不備指摘ゼロ
9.2. 製造業B社:経営層向け質問を強化 → マネジメントレビューで予算確保がスムーズに
背景: 経営層がセキュリティリスクを軽視し、必要な投資が後回しになりがち
対策: 内部監査で「経営リスクに直結する質問」や「前回レビューのフォロー」を明確にし、トップに認識を促す
結果: 経営層が課題の深刻度を理解 → 予算確保や人員配置の決定が早まり、システム更新もスムーズになった
9.3. コンサル経験談:成功企業が共通して行った取り組み
質問リストの体系化: 部門別にわかりやすいテンプレートを整備
コミュニケーション重視: 監査員と被監査側が対立しない環境づくり
改善サイクル: 監査後にきちんと是正策を実行し、次の監査で効果を検証
10. まとめ:質問例を活用して効果的な内部監査を行おう
10.1. 記事の総括:部門別チェックポイントと不適合対策の要点
部門別アプローチ(総務・人事・IT・営業・経営層)で質問を設定すると抜け漏れが減る
よくある不適合: 退職者権限管理、パスワードルール形骸化、文書不整合など → 事前に質問で検出可能
内部監査: しっかりした質問リストがあれば時間と労力を節約し、認証審査でも高評価につながる
10.2. 今後のステップ:質問例のブラッシュアップ、監査チームのスキル向上
質問例の継続的改善: インシデントが起きたり、外部審査で指摘された点をリストに追加し、毎年更新
監査チーム育成: コミュニケーションやISMS知識を研修→ 現場から信頼される監査へ
10.3. 最終メッセージ:内部監査こそISMS運用成功のカギ
結論: 質の高い内部監査を行えば、外部審査もスムーズになり、実際の事故リスクが大幅に減らせる。
実践: まずは本記事の部門別質問リストを参考に、チェックポイントをカスタマイズしてみてください。
ゴール: 「監査=企業を強くする仕組み」と意識し、ISMSの持続的向上を目指しましょう。
おわりに
ISO27001の内部監査は、ISMS運用の品質を左右する非常に大切なプロセスです。
部門別の質問例をあらかじめ用意しておけば、監査効率が上がり、認証審査でも「不適合が少ない」結果を得られやすくなります。
よくある不適合の典型パターンを把握し、質問を通じてリスクを先取りすることで、セキュリティ事故を未然に防ぎ、企業の信用度を高めることが可能です。
ぜひ本記事の質問例やチェックリストを参考に、内部監査をより効果的に運用し、ISO27001認証取得・維持を成功に導いてください。
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている。
תגובות