【必見】ISMS認証機関の選び方ガイド|違いや比較ポイントを解説
- ISMSの認証機関は日本国内に50社以上存在する
- 審査機関によって、審査できる規格や業種、指摘箇所や費用が異なる
- 審査機関選びは、審査の質や信頼性、自社の業種の実績があるかを見る
ISMS(ISO27001 )の審査を受けるためには、自社で認証機関を選定する必要があります。認証機関によって審査可能な規格や費用などの違いがあるため、選定は慎重に行いたいところです。
この記事では、認証機関ごとに異なる点や選定するうえでのポイントについて解説します。
目次
ISMSの認証機関とは
ISMSの認証機関とは、企業が運用するISMSが認証のための要求事項を満たしているかを確認し、認証する機関のことです。ISMS認証を取得したい企業からの審査依頼を受け、審査を実施するという流れで認証が行われます。
認証機関は、各国に1機関だけ存在する「認定機関」から認証審査の実施許可をもらうことで審査が実施できるようになっています。世界各国の審査機関をすべてISO (国際標準化機構)が確認することができないため、各国に認定機関をおいて審査を行うという構造になっているのです。
認証機関と認定機関の違い
企業が審査依頼をするのは「認証機関」となります。そして、認証機関に対して審査の許可を与えているのが「認定機関」です。
「認証機関」が企業や組織に対して審査を行うのに対し、「認定機関」は認証機関に対して認定を発行します。つまり、認証審査を行うにあたって十分な組織であるかどうかを判断するのです。
ISMSの取得に要求事項があるのと同様に認証機関にも要求事項が存在するため、認定機関からの認定を受けるためには、要求事項を満たしている必要があります。
認証と認定の違いについては、以下の記事にて詳しく解説しているので合わせてご確認ください。
認証機関一覧の検索方法
認証機関は複数ありますが、情報マネジメントシステム認定センターのサイトで認証機関の一覧を確認することができます。
複数ある機関の中から一社を選定することは簡単ではありませんが、まずはどのような機関があるのかを把握してみると良いでしょう。
ISO27001取得には、ISMS認証機関の選定が重要
ISMS取得にあたっての要求事項は共通していますが、実は審査方法などは認証機関によって異なります。機関ごとの違いを理解したうえで、自社に適切な機関を選定することが重要です。
ISMS認証機関ごとに違いがある背景
ISMS認証機関によって違いがある背景は、日本国内に認証機関が50〜80社程度存在するためです。
それぞれの認証機関も基本的に民間の審査会社であることから、審査できる規格や業種、審査方針、審査費用などを独自に設定しています。そのため、認証機関ごとに違いがあるのです。
ISMS認証機関の選定が重要な理由
ISMS認証機関の選定が重要な理由は、「認証機関ごとに違いがあるため」以外に、「取得後も長期的な関わりをもつため」が挙げられます。
ISMS(情報セキュリティマネジメントシステム)の認証取得は、登録審査で完結するものではなく、1年おきの維持審査や3年おきの更新審査を通じて、継続的に適切な運用がされているかを確認されます。つまり、認証機関との関係は一度きりではなく、少なくとも数年間にわたり継続するものです。
ISMS認証機関とは、認証取得後も基本的に長期的な付き合いが求められるため、「長期的なパートナー」という視点で選定する必要があるのです。
詳しくは以下の記事でも解説していますので、合わせてご確認ください。
ISMSの認証機関選びを成功させるポイント
企業にとってはISMSの取得や更新が最終的な目的にはなりますが、取得後に正しく運用ができていなければ意味のないものになりかねません。例えば、取得することだけを目的としたマネジメントシステムを構築すると、取得後の運用が機能せずに形骸化してしまい、名実が伴わない事態になりかねません。そもそも、ISO自体が継続的改善を大前提に求めているため、取得後の審査のポイントに、正しく運用されているかどうかも含まれています。
そのため、情報セキュリティマネジメントシステムの質を向上させるという本質的な目的達成も大切です。どちらの目的も達成するためには、認証機関の選定が重要なポイントとなります。
審査の質・方針を確認する
審査機関ごとの違いのひとつに審査方法を挙げましたが、これは審査の質という意味にもなります。
例えば、ISMSの運用において実務とのバランスが取れたISMSになっているかなどは、機関ごとに判定基準の優先順位が異なります。そのため、運用ベースでの審査をしない機関では、改善のための指摘をもらえないこともあります。
企業の対外的なアピールのための取得であれば審査の質はさほど気にならないかもしれませんが、長期的にISMSを運用していく場合には企業の成長につながる指摘をもらえる機関が好ましいでしょう。
そのため、認証機関を比較する際には審査方針や過去の実績を確認し、自社にとって適切な形で審査を受けられるかを把握しておくことが大切です。
審査費用・対応スピードが適切か確認する
ISMS認証機関を選定する際には、審査費用・対応スピードが妥当であるかを事前に確認しましょう。認証取得プロジェクトは、限られた期間・予算内で進められるため、対応スピードの遅さや費用の不透明さは、全体スケジュールやコスト計画に影響を与えます。
審査費用については、「登録審査」「維持審査」「更新審査」の各費用に加え、交通費・ISO登録料などの付帯費用も含めた全体像を確認しましょう。
また、対応スピードについては、問い合わせや見積り提出、審査日の調整までの一連のやりとりの中で、確認できます。
適切な対応が期待できない場合、ISO担当者に負担やストレスがかかるだけでなく、ムダなコストが発生する可能性もあります。見積もりや問い合わせの際に、見極めるようにしましょう。
自社と条件が近い審査の実績があるか確認する
認証機関は、基本的に認証可能な業種を公表していますが、機関によって得意とする業界や分野がある場合もあります。
自社の業界への知識や実績が乏しい機関から審査を受ける場合、構築したマネジメントシステムを上手く理解してもらえず、審査に影響を与える可能性も考えられるでしょう。
そのため、自社の業種・規模に近い組織の審査実績がある機関の方が、効率的にISMSを取得できるだけでなく、効果的な指摘も期待できます。
認証機関を検索する際には、ポイントを押さえて、自社に適した機関を選定するようにしましょう。ISMS認証機関の選び方に関しては、以下の記事でも詳しく解説していますので、合わせてご確認ください。
ISMS認証機関への見積もり依頼~認証取得までの流れ
ISO27001のスムーズな取得には、ISMS認証機関との連携が不可欠です。
ここでは、ISMS認証機関への見積もり依頼から、実際に認証を取得するまでの一般的な流れを解説します。
1.ISMS認証機関に見積もり依頼
まず、比較検討するために複数のISMS認証機関に対して見積もりを依頼します。
この際、対象とする事業範囲、従業員数、拠点数などを伝えることで、より正確な見積もりを依頼できるでしょう。
また対応スピードや説明の丁寧さも、長期的な関係を築くうえでの判断材料になります。問い合わせ時や打ち合わせ時も、担当者のコミュニケーションの取り方を意識しておくことが大切です。
2.ISMS認証機関と契約
見積もり比較の結果、条件や対応が適切だと判断したISMS認証機関と契約を締結します。
申し込みの手順や必要書類はISMS認証機関によって異なるため、契約時に確認しておきましょう。
3.登録審査を受ける
ISMS認証機関による登録審査は、以下の2つの段階に区分されており、第一段階審査で適合と判断された場合、第二段階審査に進みます。
- 第一段階審査(文書審査):ISMSに関する書類が、要求事項に適合しているかどうかを確認する審査
- 第二段階審査(現地審査):審査員が現地に訪れ、要求事項に適合したISMSの運用ができているかどうかを確認する審査
不適合であると判断された場合には、指摘内容に応じた是正処置を行う必要があります。
4.ISMS認証を取得する
第一段階審査・第二段階審査の両方で適合性を認められれば、認証取得となります。認証取得後は登録証が発行されます。
まとめ
認証機関によって、審査できる業種などに違いがあります。そのため、認証機関を選ぶ際には、一社だけでなく数社の調査を行い比較することをおすすめします。
自社に合った機関を選ぶことは、取得までの流れをスムーズに進められるだけでなく、取得後の効果的な運用においても重要なポイントとなります。しかし、多くの機関の中から自社に適した機関がどれか分からない、もしくは見つけられないということもあるかもしれません。
そのような場合は、認証機関の選定を支援してくれるISMSのコンサルに依頼することもひとつの手といえるでしょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい