ISMS認証の更新審査とは？維持審査との違いや準備・当日の流れ

ISMS認証（ISO/IEC 27001）は取得して終わりではなく、組織として情報セキュリティを継続的に改善し続ける体制が求められます。認証の有効期限は3年間で、1・2年目には維持審査、3年目には更新審査を受けることで、ISMSが有効に運用されているかが確認されます。特に更新審査では3年間の活動全体が精査されるため、事前の準備状況が審査結果を大きく左右します。

この記事では、維持審査と更新審査の違い、当日の流れ、準備すべき書類や対応、費用の目安について具体的に解説します。初めて更新審査を迎える担当者の方はぜひ参考にしてください。

ISMS認証を維持するには更新審査と維持審査が必要
- 更新審査とは
- 維持審査とは
ISMS認証の更新審査までに準備するもの
- 更新審査に必要な書類
- 更新審査までに準備が必要になる対応
ISMS認証の更新審査当日の流れ
ISMS認証の更新審査にかかる費用
まとめ

ISMS認証を維持するには更新審査と維持審査が必要

ISMS認証（ISO/IEC 27001）は取得後も継続的に運用することが大切です。認証の有効期限は原則3年で、1年目・2年目に「維持審査」（サーベイランス審査）、3年目に「更新審査」（再認証）を受けます。

ここでは、維持審査と更新審査についてそれぞれ解説します。

更新審査とは

更新審査は有効期限満了前に実施される再認証の審査です。過去3年間の運用実績を対象に、適用範囲全体と全要求事項を原則として精査します。リスク評価・適用宣言、内部監査、是正処置、マネジメントレビューの有効性、外部委託や拠点の管理などを横断的に確認し、継続適合性を判断します。

審査日数や審査員数は維持審査より長く、重大不適合がある場合は更新不可となり、是正の完了確認まで登録停止や失効のリスクが生じます。

維持審査とは

維持審査は認証後1年目・2年目に行う定期審査です。直近1年間の運用に焦点を当て、適用範囲全体から要点をサンプリングして確認します。是正処置の進捗、KPIや監視測定、教育、インシデント対応、BCPの演習などの有効性を点検し、継続的改善がされているかを評価します。

重大不適合が出た場合は期限内の是正が必要で、未完了だと登録の一時停止につながります。審査日数は更新審査より短いものの、運用の実態が問われる審査です。

ISMS認証の更新審査までに準備するもの

更新審査では、過去3年間のISMS運用が規格要求事項に沿って適切に実施されてきたかが詳細に確認されます。事前準備の有無は審査結果に直結するため、内部監査やマネジメントレビューの実施状況、前回指摘事項への対応、各種文書や記録の整備などを計画的に進める必要があります。

ここでは、更新審査の準備について解説します。

更新審査に必要な書類

更新審査では、ISMSが過去3年間にわたり有効に運用され、改善が継続されてきたことを示す証拠資料が求められます。審査の前段階で文書や記録を整理し、審査員が確認しやすい形で準備することが基本です。以下の書類は更新審査で必ず提示を求められる中心的な資料です。

活動目的と情報セキュリティ目標の管理記録
内部監査の記録（過去3年分）
マネジメントレビューの記録（過去3年分）
教育・訓練および力量評価の記録
リスクアセスメントの実施記録
リスク対応策の実施・評価の記録
不適合および是正処置に関する記録

文書が最新状態であるか、法改正・組織変更に基づく更新が反映されているかなどを事前に確認し、抜け漏れを防ぐ体制づくりが求められます。

更新審査までに準備が必要になる対応

まず、内部監査とマネジメントレビューは規格が求める頻度で実施し、その記録と是正状況を整理しておきましょう。内部監査では適合・不適合を明確にし、改善が必要な点は審査前に確実に対応しておくことが欠かせません。

審査当日には審査員によるインタビューが実施されるため、トップ、管理責任者、担当部門の責任者などが回答内容を共通認識として整理しておく必要があります。特に、リスクアセスメントの見直し理由、教育の実施状況、外部委託先管理の運用、インシデント対応プロセスなどは質問されやすいポイントです。対応者のスケジュール調整もあらかじめ行い、審査の妨げがないように準備を整えます。

ISMS認証の更新審査当日の流れ

更新審査当日は、ISMSが3年間にわたり有効に運用されてきたかを確認するため、組織全体を対象とした総合的なチェックが行われます。ここでは、当日の流れを順番に解説します。

オープニングミーティング

オープニングミーティングでは、審査の開始にあたり審査機関と自社担当者が顔合わせを行います。審査員は名刺交換を求めることがあるため、事前に準備しておきましょう。また、審査工程の確認に加えて、参加者の役割や問い合わせ窓口を整理しておくことで、審査中の対応がスムーズになります。

トップインタビュー

トップインタビューでは、代表者または経営層がISMS活動への関与状況を審査員から確認されます。主に「ISMS導入による組織の変化」「最新の経営状況」「重大インシデントの有無」「情報セキュリティの重要性への理解」「今後の方針」などが質問されます。

審査員はトップがどの程度ISMSを理解し、運用に関与しているかを評価するため、普段の取り組みが反映されるポイントです。担当者と事前に質問項目を共有し、回答の方向性を統一しておくと安心です。

ISMS管理責任者へのヒアリング

管理責任者へのヒアリングでは、ISMSの運用全般が確認されます。前回の審査で出た観察事項や指摘事項への対応状況、是正処置の妥当性、リスクアセスメントや教育記録の更新状況などが重点的に見られます。文書や記録が最新であることはもちろん、説明に必要な証跡がすぐ取り出せる状態にしておくことが求められます。

現場視察・担当者へのヒアリング

現場視察では、審査員が実際の業務現場を訪問し、従業員の運用状況を直接確認します。入退室管理、機密情報の保管方法、パソコンのセキュリティ設定、廃棄物管理など、日常の運用が規程に沿っているかを実地で確認する工程です。

部門のISMS責任者へのヒアリングも行われ、文書で定めたルールが実際に守られているか、現場固有のリスクが適切に扱われているかを検証します。

個別ヒアリング

個別ヒアリングでは、審査員が部署単位または作業者個人に対して詳細な質問を行います。パソコンの利用ルール、データの取り扱い、アクセス権の管理、インシデント対応の理解など、実務に即した内容が中心です。従業員が規定を理解し、自分の業務に照らして説明できるかが確認されるため、日常的な教育や周知の徹底が大切です。現場の実態が反映される工程であり、更新審査の評価に大きく影響します。

審査の総括

全工程が終了すると、審査員による内部ミーティングを経て総括が行われます。ここでは、確認結果の概要、改善が必要な点、観察事項、不適合の有無などが参加者に共有されます。

不適合が指摘された場合は、更新の可否に直結するため、後日提出する是正計画や証跡の準備が必要です。担当者は内容を正確に記録し、社内で共有・検討する姿勢が求められます。

クロージングミーティング

クロージングミーティングでは、審査全体を締めくくる最終確認が行われます。審査員から次回までに改善すべき点や、ISMSの成熟度を高めるための助言が提示され、組織としてどのように改善計画を立てるかを検討します。審査は適合していても、自社に合った改善提案が示されることが多いため、継続的改善に向けた有益な情報源として活用できます。

クロージング後、正式な審査結果が発行されます。