ISMSの取得方法とは？コンサル依頼すべきかどうかや取得費用を解説

ISMSを取得するにはプロのコンサルティング業者にサポート依頼するのがおすすめ
ISMS取得には、情報セキュリティマネジメントシステムの構築と運用をしたのち、審査を受ける必要がある

ISMSという言葉をニュースなどで耳にしたことはあるでしょうか。
ISMSとは情報セキュリティを管理する仕組みのことで、正式名称は「Information Security Management System」です。情報セキュリティの管理を適切に行っているという信頼を対外的に得るために、このISMSの取得を目指す中小企業が増えています。ISMS取得のために、ある日突然担当者に任命されるなんてことも起きてしまうかもしれません。

ここでは、ISMS認証のメンバーに任命されてから、認証取得を受けるまでの必要な基本的な流れや認証するメリット・デメリット、取得にかかる費用相場について、詳しく解説していきます。

関連記事：【初心者向け】ISMSとは？規格やISOとの違いを徹底解説

そもそもISMS認証とは？
- 情報セキュリティの必要性
- 情報セキュリティの三要素
ISMS認証規格の種類
- ISO27001
- Pマーク（プライバシーマーク）
ISMS認証の取得企業
ISMS認証を取得するメリット・デメリット
- ISMS認証を取得するメリット
- ISMS認証を取得するデメリット
ISMS認証取得の流れ
ISMS認証を取得する方法
- 自社取得
- コンサル取得
ISMS認証取得にかかる費用・期間
- ISMS認証取得にかかる費用
- ISMS認証取得にかかる期間
まとめ

そもそもISMS認証とは？

ISMS認証とは、情報セキュリティマネジメントシステムにおける要求事項が決められている規格や評価制度のことです。

情報セキュリティ認証のうち代表的な規格の一つとして、国際規格であるISO27001 が挙げられます。ISO27001を取得するためには、定められているISMSに関する要求事項を満たすことが必要です。

ここでは、そもそも情報セキュリティが必要とされるようになった背景や、情報セキュリティを構築する三要素について解説します。

情報セキュリティの必要性

IT技術が普及している現代では、何らかの損害やマイナスの影響になりかねないリスクから自社の保有する情報資産を保護できるよう、情報セキュリティの重要性が叫ばれるようになりました。

ISOプロを運営するNSSスマートコンサルティング株式会社が、従業員数300人以下のIT系中小企業経営者を対象に、「自社の情報セキュリティ管理の課題」に関する実態調査を実施。自社の情報セキュリティ環境に不安を感じている企業に、情報セキュリティ体制が万全でないと考える理由を質問したところ、以下のような回答が得られました。

実際の経営者の中にも、このような危機感をもっている経営者も多くいるのです。情報セキュリティ対策を講じていないことで、「実際に問題が発生したことがある」と答えた経営者も一定数いました。

こうした理由から、情報セキュリティリスクである情報の流出やサイバー攻撃、不正アクセスなどのリスクに対し、情報セキュリティリスクを低減するシステムを築くことが求められているのです。

また、情報セキュリティ体制を構築するために、ISMS認証（ISO27001）の取得を目指す企業が増えています。最近では、ISMS認証などの認証制度を受けることが、取引条件になっている場合もあります。
そこで、ISMS認証について調査すると、以下のような結果になりました。

「ISO27001などの認証を取得していないことで、契約に至らなかった」と回答した方が、65.2%もいたのです。そのため、今後はIT業界だけでなく、情報を多く取り扱う企業であれば、ISMS認証などの認証を取得することが情報セキュリティ体制の信頼性を得るために重要であるといえるでしょう。

こうした理由から、情報セキュリティやISMS認証の必要性が高まっているのです。
詳しい調査結果は下記からご覧いただけます。

情報セキュリティの三要素

ISO27001の要求事項を満たしたISMSを構築・運用することで、情報セキュリティの三要素である「機密性」・「完全性」・「可用性」をバランスよく高められます。

機密性：特定の社員だけが情報へアクセスできるように許可されている状態
完全性：情報資産が常に正確で最新の状態で維持できている状態
可用性：必要なときに、必要な人が、いつでも情報資産を使用できる状態

ISMS認証規格の種類

ISMSと混同しやすい認証規格にISO27001とPマークがあります。

ISO27001

ISO27001は、ISO（国際標準化機構）が発行している国際規格の一つです。情報セキュリティリスクに対し、有効なISMSを構築・運用するための要求事項を示しています。

そのため、ISMSとISO27001の違いとは、「仕組み」か「規格」かという点です。わかりやすくまとめると、「機密性・完全性・可用性をバランスよく高めていくために、どのようにISMSを構築・運用していけばよいのか」を示しているのがISO27001と覚えておきましょう。

Pマーク（プライバシーマーク）

Pマークとは、日本国内で有効な個人情報保護マネジメントシステムにおける認証制度です。個人情報を保護する体制を構築・運用している組織を認証し、Pマークを付与しています。

ISMSとPマークの違いとは、「保護対象」と「取得範囲の対象」にあります。
Pマークの保護対象が個人情報に限定されているのに対し、ISMSは個人情報だけでなく、組織が保有する情報資産すべてになります。
また、Pマークの取得範囲の対象が法人ごとの取得であるのに対し、ISMSでは取得範囲を組織ごとに決められます。例えば、本社や営業部など、支社や部門単位でも取得が可能です。

ISMS認証の取得企業

ISMS認証のうち、ISO27001の取得企業数を確認するには、日本国内のISMSを管轄する「情報マネジメントシステム認定センター」のホームページでチェックできます。2023年11月17日現在では、取得企業登録数は7,583社、実際にISO27001の取得を公表している会社は7,186社となっています。

IT技術の進歩や普及により、ISMS取得企業数は毎年増加傾向です。情報セキュリティを重視する動きは、今後も加速していくでしょう。
そのため、情報セキュリティに直接関係するITサービス業以外にも人材派遣業、金融業、その他個人情報や機密情報を扱う業種であればいずれISO27001を取得するべき業種といえます。

ISMS認証を取得するメリット・デメリット

ISMS認証を取得するメリット・デメリットについて解説します。

ISMS認証を取得するメリット

ISMS認証を取得することにより、主に以下のようなメリットを受けられます。

対外的な信頼の醸成
情報セキュリティリスクの低減
業務効率化につながる

情報セキュリティ体制を構築することは、企業の社会的な役割の一つになっています。ISMS認証を取得すると、自社の情報セキュリティにおける取り組みを第三者から評価されていることになるため、対外的な信頼を獲得することにつながるでしょう。

また、情報資産を保護する体制を構築・運用することで、不正アクセスやサイバー攻撃、情報の流出、改ざんといった情報セキュリティリスクを低減できます。その過程で情報セキュリティを構成する三要素をバランスよく高められます。
そのうち、完全性は「情報資産の正確さと最新状態の維持」を指しているため、情報が整理整頓されている状態となり、業務効率化につながるでしょう。

ISMS認証を取得するデメリット

ISMS認証を取得にあたり、発生する可能性があるデメリットについても把握しておきましょう。

マニュアルやルール、文書が増える
従業員の業務負荷が増加する
取得後にも費用がかかる

ISMS認証を取得するためには、93個の管理策に対応しなければなりません。そのため、新たなマニュアル・ルールの策定や記録文書が必要となるでしょう。管理が煩雑になるとともに運用する従業員の業務負荷が増加する可能性があります。

また、ISMS認証は審査に通過したあとも、継続するために費用がかかってきます。毎年、審査を受けることが必要なため、審査費用が発生するのです。

ISMS認証を取得するメリット・デメリットの詳細は以下の記事をご覧ください。

関連記事：ISMS認証を取得するメリット・デメリット

ISMS認証取得の流れ

ISMS認証を取得するための流れとして、まず組織としてどのような情報セキュリティを構築するのか検討する必要があります。

1.ISMS認証取得・適用範囲の決定

初めに決めなければならないのは、ISMS（ISO27001）の認証取得をする適用範囲を決めることです。
ISMSでは、全社での取得以外にも、特定の部署や支店などで限定的に取得することもできます。
たとえば、顧客からの要望や、入札条件などでISMS認証が必要な場合、対応する拠点や部署だけが認証されていればよい場合もあるのです。全社で導入する負担が大きい場合は、対応が必要な範囲のみで取得しましょう。

2.現状の情報資産の洗い出し・対策方法の確認

社内には、情報資産というものが非常に多く存在しています。個別の担当者レベルでしか把握できていないものもあるかもしれません。
現状、社内にある情報資産をすべて洗い出して、情報資産管理台帳に書き出しましょう。ISMS取得のためには、それら資産がもつリスクや、リスクに対する管理・情報セキュリティ対策方法について確認を行う必要があります。

3.リスクアセスメント（リスクの予測、見積もり、評価の過程）

続いては、リスクアセスメントについて説明します。リスクアセスメントは上記で洗い出した情報資産に対して、職場内において想定される危険をピックアップして、その評価、除去・低減を行うことです。情報資産それぞれに起こり得るリスクを、台帳に取りまとめましょう。

そして、それぞれのリスクに見積もり・点数をつけて評価し、優先度を設けます。点数化は必ずしもやる必要はありませんので、組織のやり方に合わせて実施すればよいかと思います。優先度に沿ってリスク低減を実施していきましょう。また、リスクアセスメントは一度きりではなく、定期的な対策の追跡や、新たに生まれたリスクなどについて検討をしていく必要があります。

4.ISMS文書の作成

ここまで議論や評価を行ってきたものを踏まえて、社内で情報セキュリティマネジメントシステムを運用するための規定や手順などの各種マニュアル文書を作成していきます。これは、認証審査での要求事項も踏まえて作成していく必要があるでしょう。

また、適切な情報セキュリティ管理・運用を行うために、記録類の様式なども同時に作成が必要です。そしてISMSを取得する際に、組織の状況に合わせて適用除外が認められている項目もあります。適用除外を明確にするための、「適用宣言書」が必要なので忘れないようにしましょう。

関連記事：ISO27001で作成すべきマニュアル文書一覧

5.ISMSの運用・社内教育

規定やマニュアルなどにまとめた内容に沿って、実際に社内で運用してみましょう。
ただし、いきなり運用を始めても社員は理解できません。
社内教育などを通して自社のISMSへの理解を深めさせたうえで、運用していく必要があります。
実務でマネジメントシステムを一巡させられれば、概ね社員の理解は高まるでしょう。

6.内部監査

社内で構成した内部監査チーム、もしくは外部の専門家に依頼することで、内部監査を行います。
社内でISMSの規定やルールに沿った運用が行われているか、適用範囲内の社員が情報セキュリティの知識が周知しているかなどを判定するためです。
内部監査によって問題点が指摘された場合、該当部署は対策を行ったうえで報告しなければなりません。

7.マネジメントレビュー

社長など会社の代表者は、内部監査による報告や実際の運用状況を確認したうえで、マネジメントレビューを行います。
マネジメントレビューでは、単なる規格に沿った事実を述べるだけではいけません。リーダーシップにもとづいてトップ自らの責任による判断を下し、マネジメントレビューをアウトプットしましょう。

関連記事：マネジメントレビューとは？規格や実施メリット、注意点などを解説

8.認証審査

ISMS認証の認定審査は二段階です。

第一段階審査

文書審査がメインで、マニュアルや手順書などの情報セキュリティマネジメントシステムを規定した文書が、「ISO27001の規格要求事項に適合しているか」審査します。また、規格要求事項に則していても、組織に適した文書になっていないと意味がありません。規格、組織両方にマッチした文書となっているか、念入りに確認されます。

第二段階審査

認証審査員が取得範囲の部署の社員に対して、マネジメントシステムの実際の運用状況を確認します。運用に不備があるとISMS認証機関から是正の指摘を受けるので、それらを対応して審査終了です。
第一段階審査、第二段階審査を経て、ISMSの認証登録がされるまでの期間は、3ヵ月程度が目安となっています。

関連記事：ISMSの取得審査とは？費用、期間、不適合の条件を解説

ISMS認証を取得する方法

ISMS認証取得するには、「自社取得」「コンサル取得」のどちらで実施するか決める必要があります。スムーズに取得するなら「コンサル取得」がおすすめです。ここでは、それぞれの概要を紹介します。

自社取得

自社取得とは、自社の社員だけでISMSを構築し、ISMS認証を取得することです。そのため、社内で連携がとりやすくなるという利点はありますが、社員が本業とISMS認証取得の業務を兼業するケースが多く、従業員への負荷が増える傾向にあります。

主に従業員の人件費や認証審査にかかる審査費用が発生します。従業員にISO規格に関するノウハウやスキルが十分にない場合には、ISMS構築にかかる期間が長引き、従業員の人件費は肥大化し経営を圧迫するでしょう。例え、知見があったとしても本業に集中できなくなり、本来生まれるはずだった利益を失う（見えない損失）可能性が高まります。

また、構築したISMSが自社に適しているかどうか、ISMS認証の要求事項に適しているかどうかという点も自社内で見極めることが必要です。

コンサル取得

コンサル取得とは、ISO27001やPマークにおけるプロのコンサルティング業者に認証取得支援サポートを依頼して取得することです。一般的にコンサル依頼料が月額かかりますが、ISMS認証取得にかかる業務の多くを請け負ってもらうことが可能です。
外注費が月数万円というコンサルティング会社もあるため、月数十万円の人件費を支払うよりも安価に収まるケースも少なくありません。

また、認証取得コンサルティング業者に依頼することで、ISMS認証の審査通過の確実性が増すだけでなく、依頼先に拠っては自社の実情に適したマネジメントシステムの構築が期待できます。

取得するためだけでなく、取得後に機能するマネジメントシステムを構築するために、「コンサル取得」がおすすめなのです。またコンサルタント選びもとても重要となります。

自社取得とコンサル依頼の詳細は、以下の記事をご覧ください。

ISMS認証取得にかかる費用・期間

最後に、ISMS認証取得にかかる費用や期間の相場について紹介します。

ISMS認証取得にかかる費用

ISMS認証取得には、必ず審査費用がかかります。審査費用は、取得する事業規模や審査機関によって異なりますが、相場は50～100万円程度です。
また、取得のサポートをコンサルティング会社に依頼する場合には、審査費用にコンサルティングの依頼料がかかってきます。

ただし、コンサルタントに依頼した方が、自主取得よりも費用総額を抑えられることが多くあります。それは、自主取得の場合には自社の人員がISMS認証にかかる作業をすべて行わなければならず、取得にかかるおよそ1年以上の間、本業に集中できなくなるためです。その結果、目に見えにくい人件費コストが肥大化し、コンサルティング会社に依頼するよりも高額になることが多いのです。

ISMS認証取得にかかる期間

ISMS認証取得にかかる期間は、会社の規模やISMSの適用範囲、自社取得かコンサル取得かによって異なります。

そのため、あくまで目安にはなりますが、一般的に自社取得の場合には1年程度の期間がかかります。ノウハウやスキルがまったくない場合には数年ほどかかる場合もあるでしょう。

一方、コンサルティング業者に依頼する場合には、一般的に6カ月程度です。早い場合には4カ月で取得可能なケースもあります。

まとめ

ISMS認証取得の流れは、組織としてのISMSの構築、運用、そして認証機関における審査によって進んでいきます。
一般的な流れを解説しましたが、構築のためにはかなりの労力と時間が必要です。
企業によっては独力で行うのではなく、コンサルタントに入ってもらいISMS認証を目指す方が効率的かもしれません。

しかし、最終的に作業を行うのは、ISMS担当になった方です。
認証取得までの流れをしっかりと把握したうえで、入念に準備を進めていきましょう。

無料資料 | ISO27001・Pマーク導入徹底解説
『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
必須ご担当者様名
必須電話番号
任意会社名
任意メールアドレス
必須個人情報の取り扱い
下記個人情報保護方針について同意する（個人情報保護方針を読む）