ISMS認証機関の違いとは?比較のポイントを解説
- ISMSの認証機関は日本国内に50社以上存在する
- 審査機関に拠って、審査できる規格や業種、指摘箇所や費用が異なる
- 審査機関選びは、審査の質や信頼性、自社の業種の実績があるかを見る
ISMS (ISO27001 )の審査を受けるためには、自社で認証機関を選定する必要があります。認証機関によって審査可能な規格 や費用などの違いがあるため、選定は慎重に行いたいところです。
この記事では、認証機関ごとに異なる点や選定するうえでのポイントについて解説します。
目次
ISMS審査の認証機関とは
ISMSを取得するためには、審査機関による審査を受ける必要があります。しかし、現在日本国内には50社以上の認証機関が存在するため、どこを選べば良いのかわからないという方も多いでしょう。
そのため、まずはISMS取得や更新のための審査を実施している認証機関についてしっかりと理解しておくことが大切です。
ISMSの認証機関とは
ISMSの認証機関とは、企業がISMSで要求されている取り組みを正しく実施しているかを確認し、認証する機関のことです。
日本国内には50〜80社程度存在し、ISMS認証を取得したい企業からの審査依頼を受け、審査を実施するという流れで認証が行われます。
認証機関は、各国に1機関だけ存在する「認定 機関」から認証審査の実施許可をもらうことで審査が実施できるようになっています。世界各国の審査機関をすべてISO (国際標準化機構)が確認することができないため、各国に認定機関 をおいて審査を行うという構造になっているのです。
認証と認定の違い
企業が審査依頼をするのは「認証機関」となります。そして、認証機関に対して審査の許可を与えているのが「認定機関」です。
「認証機関」が企業や組織に対して審査を行うのに対し、「認定機関」は認証機関に対して認定を発行します。つまり、認証審査を行うにあたって十分な組織であるかどうかを判断するのです。
ISMSの取得に要求事項があるのと同様に認証機関にも要求事項が存在するため、認定機関からの認定を受けるためには、要求事項を満たしている必要があります。
認証と認定の違いについては、以下の記事にて詳しく解説しているので合わせてご確認ください。
認証機関一覧の検索方法
認証機関は複数ありますが、 情報マネジメントシステム認定センター
のサイトで認証機関の一覧を確認することができます。
複数ある機関の中から一社を選定することは簡単ではありませんが、まずはどのような機関があるのかを把握してみると良いでしょう。
ISMSの認証機関の選定が大切な理由
ISMS取得にあたっての要求事項は共通していますが、実は審査方法などは認証機関によって異なります。機関ごとの違いを理解したうえで、自社に適切な機関を選定することが重要です。
認証機関による違いには、主に次のようなものが挙げられます。
- 審査可能な規格
- 審査可能な業種
- 審査時の指摘箇所・数
- 費用
認証機関の選定によっては、ある審査機関では不適合と判断されたのに、別の機関では適合と判断される場合もあります。
また、業種によってはそもそも審査ができないという機関もあるため、認証機関を検索する際には上記の項目を必ず確認をしたうえで、自社の環境や条件に合わせて選ぶ必要があるでしょう。
詳しくは以下の記事でも解説していますので、合わせてご確認ください。
ISMSの認証機関を比較するポイント
企業にとってはISMSの取得や更新が最終的な目的にはなりますが、取得後に正しく運用ができていなければ意味のないものになりかねません。例えば、取得することだけを目的としたマネジメントシステムを構築すると、取得後の運用が機能せずに形骸化してしまい、名実が伴わない事態になりかねません。そもそも、ISO自体が継続的改善を大前提に求めているため、取得後の審査のポイントに、正しく運用されているかどうかも含まれています。
そのため、情報セキュリティマネジメントシステムの質を向上させるという本質的な目的達成も大切です。どちらの目的も達成するためには、認証機関の選定が重要なポイントとなります。
審査の質はどうか
審査機関ごとの違いのひとつに審査方法を挙げましたが、これは審査の質という意味にもなります。
たとえば、ISMSの運用において実務とのバランスが取れたISMSになっているかなどは、機関ごとに判定基準の優先順位が異なります。そのため、運用ベースでの審査をしない機関では、改善のための指摘をもらえないこともあります。
企業の対外的なアピールのための取得であれば審査の質はさほど気にならないかもしれませんが、長期的にISMSを運用していく場合には企業の成長につながる指摘をもらえる機関が好ましいでしょう。
そのため、認証機関を比較する際には審査方針や過去の実績を確認し、自社にとって適切な形で審査を受けられるかを把握しておくことが大切です。
認証機関の信頼性はどうか
認証機関を選ぶ際には、信頼性があるかどうかという点も確認するべきです。過去の実績や審査員の経験値は、機関によってそれぞれ異なります。
これまでの実績や、審査員の経験値、相性などを事前に確認し、信頼できる機関であるかどうかを判断しておくことが大切です。
しかし、過去の実績や経験からだけでは信頼性を判断しにくいこともあるでしょう。そのため、実績以外にも見積内容などを確認し適切な費用になっているかや、返答スピードなどのコミュニケーションの取りやすさなどもチェックしておきたいポイントとなります。
自社の業種への知識や実績はあるか
認証機関は、基本的に認証可能な業種を公表していますが、機関によって得意とする業界や分野がある場合もあります。
自社の業界への知識や実績が乏しい機関から審査を受ける場合、構築したマネジメントシステムを上手く理解してもらえず、審査に影響を与える可能性も考えられるでしょう。
そのため、自社の業種への知識や実績がある機関の方が、効率的にISMSを取得できるだけでなく、効果的なISMS運用も期待できます。
認証機関を検索する際には、ポイントを押さえて、自社に適した機関を選定するようにしましょう。ISMS認証機関の選び方に関しては、以下の記事でも詳しく解説していますので、合わせてご確認ください。
自社に適した認証機関を選ぶなら
認証機関によって、審査できる業種などの違いがあることをまずは理解しておきましょう。そのため、認証機関を選ぶ際には、一社だけでなく数社の調査を行い比較することをおすすめします。
自社に合った機関を選ぶことは、取得までをスムーズに進められるだけでなく、取得後の効果的な運用においても重要なポイントとなります。しかし、多くの機関の中から自社に適した機関がどれか分からない、もしくは見つけられないということもあるかもしれません。
そのような場合は、認証機関の選定を支援してくれるISMSのコンサルに依頼することもひとつの手といえるでしょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい