▼ 目次
1. はじめに
1.1. 記事の目的と想定読者
本記事では、**ISMS(情報セキュリティマネジメントシステム)**の審査がどのように進むのか、どんな準備をすればよいのか、そしてよくある不適合とその対策について、初心者でも理解できる形でまとめます。
想定読者:
これからISMSを導入・取得したい企業の担当者
すでに導入しているが審査対策に悩んでいる管理者
内部監査やリスクアセスメントの方法を学びたい方
1.2. なぜISMS審査が重要なのか?
ISMSは組織の情報を守る仕組みを作り、外部認証によって客観的に評価してもらうことができます。
審査に合格すると、顧客や取引先に「情報をしっかり守っています」と証明できるため、信頼度の向上やビジネス拡大につながります。
コンサル視点: ISMSは「書類を整えるだけ」ではなく、実際のセキュリティ運用が大事。審査を通して弱点を補強し、情報漏えいリスクを下げる効果があります。
1.3. 本記事で得られるメリット(審査準備・手順・不適合事例 など)
審査に向けた具体的な準備(文書化、リスクアセスメントなど)
ステージ1・ステージ2審査の流れやポイント
よくある不適合の事例と解決策
内部監査やリスク分析の活かし方で審査をスムーズに通すヒント
2. ISMS審査の基本概念
2.1. ISMS(情報セキュリティマネジメントシステム)とは?
ISMS: 組織が扱う情報(紙、電子データ、口頭情報など)を保護するための仕組みです。
認証: ISO/IEC 27001という国際規格に基づいて、「情報セキュリティに必要な管理策が十分か」を外部認証機関が審査→ 合格するとISMS認証書が発行されます。
2.2. ISMS認証取得のメリット(社内管理レベル向上、取引先の信用 ほか)
社内管理レベル向上: 組織全体のルールや手順が明確化され、情報漏えいリスクを下げられる
取引先からの信用獲得: 情報管理が厳しい企業や公的機関との契約で要求されるケースが増加
社員のセキュリティ意識アップ: 定期的な教育や監査を通じ、全員が「情報を守る」文化を育む
2.3. 「ステージ1審査・ステージ2審査」の全体像
ステージ1審査(文書審査): ISMS文書やリスクアセスメントの整合性をチェックし、適用範囲や管理策に抜けがないかを確認
ステージ2審査(現場審査): 実際の運用を担当者にヒアリング・記録検証し、必要な管理策が有効に機能しているかを評価
3. 審査準備:事前に押さえるべきポイント
3.1. 適用範囲(スコープ)の明確化と文書化
スコープ: どの部署・システム・拠点をISMSに含むか決定→ 曖昧だと審査員に「ここは対象外なの?」など聞かれ指摘のもとに
コンサル経験: 適用範囲をあいまいにすると監査時間が増え、不要な不適合が出るリスクが高い
3.2. リスクアセスメントとセキュリティ管理策(附属書A対応)の整備
リスクアセスメント: 情報資産を洗い出し、リスク(漏えい、改ざんなど)を見積もり、必要な管理策を選ぶ
附属書A: ISO/IEC 27001に列挙される管理策群→ 自社状況に合わせ「適用 or 非適用」を理由とともに文書化
3.3. 文書・記録の整理(セキュリティポリシー、手順書、教育記録など)
例: 情報セキュリティ方針、アクセス権限管理手順、インシデント対応手順など
教育記録: 研修や周知活動の履歴があると、審査員に「全社員に浸透している」証拠を示せる
3.4. 社員教育・内部監査の実施と記録の取り方
社員教育: 情報セキュリティの基本を全員が理解→ USBやメール送信時の注意
内部監査: 外部審査前に自社で運用点検し、不備を早期発見・是正
コンサル談: 内部監査の結果報告が曖昧だと、外部審査で不備を見逃す→ 記録はしっかり残す
4. ISMS審査の手順:ステージ1からステージ2までの流れ
4.1. ステージ1審査(文書審査・適用範囲の確認)の目的
主目的: ISMS文書が規格要求を満たすか、適用範囲と管理策に大きな不足がないかチェック
実務例: 審査員から「リスクアセスメント結果はどの文書で示されていますか?」など問われる
対策: 文書のリンク関係(ポリシー→手順書→チェックリストなど)をわかりやすく整理
4.2. ステージ2審査(現場審査・運用確認)の進め方
現場ヒアリング: どのようにセキュリティルールを実践しているか、社員やシステム管理者に質問
証拠確認: インシデント記録、ログ管理、物理セキュリティ(鍵や入退室記録)を現場で点検
コンサル視点: ここで不備が出ると不適合が指摘→ 合格が延期されるリスク
4.3. 審査員が注目する主なチェック項目
リスクアセスメント: 手順が明確か、リスクと管理策が対応しているか
文書化された情報: ポリシー・手順が最新か、改訂履歴が管理されているか
社員理解度: ルールを聞いたとき、担当者が答えられるか
技術的対策: パスワードポリシー、アクセス権限、バックアップ管理
4.4. スケジュール策定:いつから準備し、どのくらい期間を要するか
一般目安: 中小企業で3~6か月、大企業だと半年~1年ほど準備時間が必要
コンサル経験: できれば内部監査までに最低1か月の余裕→ 指摘事項を修正してステージ1・2に臨むとスムーズ
5. よくある不適合:指摘例と対策方法
5.1. リスクアセスメントが曖昧、セキュリティ対策が文書化されていない
具体例: リスク分類が「高・中・低」だけの形だけ。対策内容が「やる」しか書いてない
対策: リスク発生確率×影響度を数値化し、選んだ管理策を理由付きで文書化
効果: 審査員に「納得感のあるリスク対応」を示せる
5.2. 審査時に示す証拠が不足(ログ、教育記録、監査報告など)
原因: 現場では運用しているが、記録を残す習慣がない
解決: ログ保管期間を決め、研修・監査報告も社内システムで一元管理→ 「いつ、誰が、何をした」がすぐ証明できるように
5.3. 退職者のアカウント管理や物理セキュリティの不備
例: 退職した社員のIDが残っており、社外からアクセス可能な状態に
対策: 人事部とIT部門が連携し、退職・異動日付で自動的に権限剝奪。物理的には入退室カード回収やドアロック設定を徹底
コンサル視点: この点はよく審査員から確認されるポイントの一つ
5.4. 不適合からスムーズに是正につなげた企業の事例
事例: サービス業S社がステージ1で「文書不足」と指摘→ 2週間で手順書を整備しステージ2合格。短期対応でも責任者を明確にし、急ぎ修正した
6. 審査をスムーズに通すための社内体制とポイント
6.1. プロジェクトチームの編成(リーダー・部門代表など)
必要性: 全社的にセキュリティレベルを上げるため、各部門から代表を出してチームを結成
役割例: チームリーダー(総責任)、IT担当、総務担当、現場リーダーなど
コンサル経験: プロジェクト体制が曖昧だと作業漏れが起きがち→ リーダーが進捗管理を行うと効率的
6.2. 社員意識の向上:セキュリティ教育・朝礼、ポータルでの周知
教育: フィッシングメール対策、パスワード管理、持ち出しルールなど定期研修
朝礼やポータル: 最新のインシデント事例やヒヤリハット報告を共有
効果: 社員が自分の仕事にセキュリティを結びつけ、「みんなで守る」意識が高まる
6.3. 内部監査との連動:不備や観察事項を早期発見→ 本審査前に修正
内部監査: ISMSの各項目が実際に守られているか、書類と運用を照合
本審査: 外部審査前に指摘を直せば不適合を減らせる
コンサル視点: 外部審査員が来るまでに内部監査をしっかり回し、細かいミスも潰すのがコツ
6.4. 認証機関とのコミュニケーションを円滑に
事前相談: ステージ1・2の間隔、審査日程など早めに打ち合わせ
コンサル談: 疑問点は認証機関に質問しておくとトラブル回避→ 誤解や書類不足が減りスムーズに進む
7. ステージ1審査:文書審査で確認される主な項目
7.1. ISMS文書(セキュリティポリシー、手順書、規定類)
ポリシー: 経営トップの宣言や基本的なセキュリティ方針を明示
手順書・規定: 具体的な運用ルール(パスワード方針、バックアップ方法など)を記載
審査員視点: 「内容がISO27001の要求と整合しているか?」「適切に周知されているか?」が焦点
7.2. リスクアセスメントとリスク対応の整合性
確認: リスクをどう評価し、選んだ管理策(附属書A含む)を文書化しているか
具体例: 重要サーバーにバックアップがないのにリスクが高いとされていない→ ギャップが生じる
解決: リスクレベルに応じて対策を整備し、その理由を文書(適用宣言書)で説明
7.3. 適用範囲と管理策(附属書A対応)の根拠
適用範囲: どの拠点・部門・システムがISMSに含まれるかを明確化
不適用の正当化: 使っていない管理策を非適用にする理由を説明(例:物理サーバーがなくクラウドOnlyの場合など)
7.4. 指摘が出た場合の対応(修正期間・再審査の流れ)
形態: ステージ1で大きな不備があれば「是正要求」→ 修正して再チェック
コンサル視点: ステージ1はまだ“文書審査”なので、修正可能な期間が与えられやすい
8. ステージ2審査:実地審査で見られるポイント
8.1. 運用状況の確認(社員の理解度、手順の実践、物理セキュリティ)
社員ヒアリング: ポリシー内容やルールを質問→ 答えられないと「実は周知されてない?」と疑念
物理セキュリティ: サーバールームの鍵管理、入退室ログなどを現場で見せる必要
8.2. 教育・訓練記録、インシデント対応履歴、ログ管理の証拠提示
教育記録: いつ、どんな内容で、誰が参加したか
インシデント対応: 発生時の経緯と対策を記録→ 再発防止の有効性
ログ管理: アクセスログや操作ログが保存されているか、保存期間は十分か
8.3. 監査員とのやり取り:質問内容と適切な回答例
質問例: 「退職者のアカウントはどうやって削除していますか?」「パスワード更新のルールを教えてください」
回答例: 「人事とシステム管理が連携し、退職日で即時無効」「パスワードは12文字以上を3カ月ごとに更新」
コツ: 現場担当が自分の手順を理解していれば問題なし。うろ覚えは不安を与える
8.4. ステージ2合格後の認証書発行と更新審査
合格: 数週間後、正式な認証書が発行される→ 自社の信用度UP
更新審査: 3年ごとに大きな更新、毎年か半年ごとのサーベイランス審査がある
9. 不適合が出た場合の対処:是正処置と再審査対応
9.1. 不適合レベル(重大・軽微)と期限内の是正アクション
重大不適合: 審査合格が保留→ 期限内に是正して再審査
軽微不適合: 期限内に対策計画を提出すれば合格可能
ポイント: いずれも「具体的に何を、いつまでに、誰が直すか」を示す
9.2. 再審査や追試験が必要なケース
ケース: 重大不適合が修正できず、一定期間後に再審査費を追加で支払うことも
コンサル経験: 再審査は費用と時間がかかるため、初回審査までに入念に内部監査をしておく方がコスト効率が高い
9.3. 不適合から短期間で是正して合格した企業の事例
事例: 中小IT企業がステージ2で「アクセス制御ルールが運用されていない」と指摘→ 2週間で新ルールを全社員に周知、審査員に証拠を提出→ 合格確定
10. 審査後の維持とサーベイランス監査
10.1. 毎年のサーベイランス(監視)審査:運用継続の確認
目的: 認証取得後も運用が継続されているかチェック→ 放置してると取り消しリスク
実務: 毎年(または半年ごと)に簡易審査が行われ、不備がないか確認
10.2. 3年ごとの更新審査:認証維持への意識と準備
更新審査: 再度ステージ1・2を行う場合も→ 長期間運用していると文書改訂漏れや形骸化が指摘されやすい
コンサル談: 更新審査をスムーズに通過する企業は、定期的に文書見直しや社員教育を続けている
10.3. 文書や手順書の定期見直し、社員への継続教育
必要性: 情報セキュリティは環境変化が速い→ 新技術や新リスクが出てくる
対策: 半年~1年ごとに文書をアップデートし、内部監査・MR(マネジメントレビュー)で検証
11. 実際の費用感・期間目安と効率化のコツ
11.1. コンサル費用・審査費用・内部監査工数など
審査費: 企業規模や範囲によるが、数十万~100万円台が一般的
コンサル費用: 短期導入で50万~数百万円、内容や企業規模で変動
社内工数: 文書整備や教育に人手が必要→ 期間や予算に余裕をもつ
11.2. 小規模企業が短期導入しやすい方法
スコープ最小化: まず本社や主要システムだけ適用→ 徐々に拡大
テンプレート利用: リスクアセスメントやポリシーの雛形をカスタマイズ
コンサル視点: 3~6か月で合格を目指す例が多く、プロジェクトリーダーがしっかり進行役をすることが鍵
11.3. 大規模企業でのスコープ設定と期間の考え方
課題: 部署や拠点が多いと調整に時間がかかる→ 1年~1年半の計画が必要
対策: 優先度の高い情報資産からスコープを狭め、成功後に拡張
利点: 全社的に一気にやるよりリスクが低く、成果を確実に出しやすい
11.4. 効率化事例:プロジェクトチーム+ツール導入で成功したケース
事例: 情報管理ツールや文書管理ソフトを導入→ 進捗見える化、ファイルの共有がスムーズ
成果: 半年以内にステージ2合格、内部監査でも大きな不適合なし
12. 成功事例:ISMS審査を乗り越えて得たメリット
12.1. IT企業A社:認証取得で大手取引先からの信頼UP・契約数増加
背景: 資料に「ISMS認証あり」と書いたら、セキュリティ要求が厳しい取引先から評価→ 大型契約獲得
実際: 外部審査を通じてセキュリティ体制が整い、内部情報管理もスムーズに
12.2. 製造業B社:情報漏えいリスク低減→ 品質イメージとブランド向上
事例: 設計図や顧客データを安全管理→ 漏えいリスクを下げ、ブランド力アップ
効果: 取引先から「セキュリティがしっかりしている会社」として追加発注を受けるケース増
12.3. サービス業C社:セキュリティ事故が激減し、社員教育が定着→ 顧客満足度アップ
内容: 社員がセキュリティを他人事でなく自分事として捉えるようになった
結果: 年に数件あった情報事故が0件に→ 顧客からの信頼が高まりリピート率向上
13. Q&A:ISMS審査に関するよくある疑問
13.1. 「ステージ1とステージ2の間隔はどれぐらい?」
回答: 一般的に1~3か月程度。間に文書修正や不備対応を行う
コンサル談: 余裕があれば2か月以上空け、落ち着いて修正するのがおすすめ
13.2. 「内部監査と審査は同じ?何が違う?」
回答: 内部監査は自社内で運用実態を点検、外部審査(ISMS審査)は認証機関が客観的に評価
例: 内部監査で見つかった不備を修正し、外部審査をスムーズに通過
13.3. 「物理セキュリティが難しい…小規模オフィスでも対策必要?」
回答: はい。ドアロックや来客受付記録、廃棄物の管理など最低限の対策が必要
具体例: カードキー管理、重要書類は施錠保管、夜間のオフィス閉鎖チェック
13.4. 「クラウド利用時の責任分界点はどう示せばいい?」
回答: クラウドベンダーと契約書やSLAで責任範囲を明確化→ 自社側は利用設定やアクセス管理の責任を負う
審査員: どこからどこまでがクラウド事業者の責任で、どこが自社責任か明確化を求める
14. まとめ:初心者向けにISMS審査とは?審査準備・手順・よくある不適合と対策を詳しく紹介
14.1. 記事の総括:正しい準備と運用で審査がスムーズに
ISMS審査は書類だけ整えても不十分→ 実務との整合性が重要
内部監査や社員教育を通じ、形だけではないセキュリティ体制を作ると合格率が高まる
14.2. 最初の一歩:リスクアセスメントと適用範囲の明確化
リスク評価で管理策を選び、適用範囲をしっかり定義→ 文書・記録をきちんと揃える
社員理解: 社員が運用ルールを把握していないと外部審査で不適合が出やすい
14.3. 最後のメッセージ:ISMSは認証後も継続改善が大切
合格後: サーベイランス(監視)審査や更新審査で運用を続ける必要あり
結論: ISMS審査を機に情報セキュリティレベルを高め、社内・取引先からの信頼を得る好循環を作りましょう
おわりに
ISMS審査は、企業が情報を守るための仕組みが本当に機能しているかを外部から評価する大切なプロセスです。
審査準備: リスクアセスメントで管理策を明確化→ 文書・記録を揃える→ 社員教育と内部監査で事前に不備をチェック
ステージ1&2審査: 書類面と運用実態を確認→ 不適合があれば是正してリスクを減らす
このサイクルを通じて、情報セキュリティのレベルが上がり、顧客や取引先からの信頼が高まります。初心者でも焦らず準備すれば、ISMS審査は必ず通過可能です。ぜひ本記事を参考にスムーズな認証取得を目指してください。
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている
Comments