【保存版】ISMS認証(ISO27001)取得にかかる費用は?コンサル費用相場も紹介
- ISMSは企業の情報資産を保護するための仕組みのこと
- ISMS認証を取得するには、ISO27001の要求事項に沿ったマネジメントシステムの構築・運用が必要となる
企業が保有する資産にはヒト、カネ、モノなどさまざまなものがありますが、その中でも個人情報や機密情報といった情報資産の重要性がこの情報化社会の中で高まってきています。
こうしたプライバシーの保護や情報漏洩を防ぐために、情報セキュリティマネジメントシステムの国際規格 である ISMS 認証 ( ISO27001 )の取得の重要性が増しています。しかし、取得するには人件費や審査費用などを考えるとある程度まとまった費用が必要です。
そこで、今回はISMS認証(ISO 27001)取得にかかる費用や費用がかかっても取得の必要性について解説します。
目次
ISMS認証(ISO27001)取得費用の内訳
まずは、ISMS認証の取得費用の内訳として、人件費やコンサル依頼料、審査費用、ISMS構築にかかる費用の4つを解説します。
人件費
ここでいう人件費とは、ISO27001を取得するために必要な工程を実施する社員に支払う賃金のことです。一般的には社内で任命したISO事務局やISO担当者にかかる費用です。
例えば、月30万円の給与の社員1人が、1年間本来の業務を行わずにISO27001に関する業務のみを担当した場合には、30万円×12か月で360万円の人件費がかかります。
通常時と変わらない人件費しか発生しないため、一見すると費用がかかっていないように感じます。
しかし、ISO担当者の本来の業務ができなくなるため、見えない損失が発生しています。ISMS認証取得にかかる人件費を抑えられるかどうかは、ISO担当者の経験やノウハウによって大きく変動するでしょう。
コンサル依頼料
ISMS認証取得には、自社の社員のみで取得する自社取得とコンサルに取得サポートを依頼するコンサル取得があります。
コンサルティング業者に依頼する場合には、毎月コンサルティング費用がかかります。依頼料は、企業規模や認証範囲、取得支援の内容によって異なることが多くあります。いくら費用がかかったのかが一目で把握できるでしょう。
一方、自社取得の場合、ISO担当者が取得にかかるすべての工程を実施します。その場合、取得にかかった期間におけるISO担当者の人数分の人件費が、取得にかかった費用となります。
審査費用
ISMS認証を取得するには、基本的に各国に一つだけ存在する認定 機関からの認証を受けた審査機関(認証機関)の取得審査(認証審査)を受けることが必要です。
そのため、必ず審査費用がかかります。審査機関によって料金が変わることから、取得費用を左右する要素の一つです。また、審査機関と自社までの距離が遠い場合には、ISO審査員の移動費や宿泊費がかかる場合もあります。
取得後も、適切に運用できているかを確認する審査を毎年受ける必要があるため、審査機関の選定は慎重に行うことがおすすめです。
ISMS構築にかかる費用
ISMS構築のために機器や設備を導入した場合には、費用が別途かかります。
ただし、こちらは必須ではないため、この記事では取り上げません。必要かどうか迷う機器がある場合には、自社の情報セキュリティ方針に沿って、導入すべきかどうかを決めていきましょう。
ISMS認証(ISO27001)取得にかかる費用相場
次に、ISMS認証(ISO27001)取得にかかる費用を、自社取得した場合とコンサルに依頼した場合で解説します。ただし、どちらの方法でも審査費用は変わりません。
また、どちらの取得方法の場合であっても、審査費用がかかります。ISMS認証の場合、一般的な相場は50~100万円程度です。下記は業種別、規模別のISMS認証の審査費用です。実際にISOプロで取った見積もりのため、参考にしていただければと思います。
| 業種 | 1-20名 | 21-50名 | 51-100名 | 101名以上 |
|---|---|---|---|---|
| 製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
| 建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
| ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
| システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
| WEB制作 | 55万円 | 81万円 | 97万円 | – |
| 卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
| コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
| 保険業 | 58万円 | – | 100万円 | 113万円 |
| 不動産 | 62万円 | – | 97万円 | 113万円 |
※2022年7月調査(ISOプロ調べ)。現在の費用と異なる可能性があるため詳しくはお問合せください。
以下に自社取得とコンサルタントを利用した場合の費用イメージをまとめました。事業規模やコンサル業者によって費用相場は異なるため、参考程度にご覧ください。
自社取得した場合
自社取得の場合には、人件費(担当者の人数×給与×取得に費やした期間)がかかります。
例えば、以下の場合だったとして費用相場を考えます。
- 企業:21名~50名のITサービス企業
- ISO担当者:月30万円の給与の社員2人
- 取得にかかった期間:1年間
この場合の費用相場は、796万円程度になると考えられます。
- 人件費:2人×30万円×1年間=720万円
- コンサル依頼料:なし
- 審査費用:76万円
コンサルに依頼した場合
コンサルタントを利用した場合には、年間でおよそ45~150万円程度のコンサルティング依頼料がかかります。
コンサルにより削減できる工数や期間は異なりますが、ここでは自社社員の工数が8割削減できた場合で考えます。また、ISO27001取得をコンサルに依頼した場合にかかる期間は、一般的に約半年です。
その他の条件は自社取得と変わらないとして計算すると、この場合の費用相場は、以下の式から193~298万円程度になると考えられます。
- 人件費:(2人×30万円×6か月)×20%=72万円
- コンサル依頼料:45~150万円
- 審査費用:76万円
このように、結果的にコンサルに依頼する方が安く取得できることが多いのです。
コンサルの選び方や依頼するメリットなどは以下の記事で詳しく解説しています。ぜひ参考にしてください。
ISMS認証(ISO27001)取得後、維持・更新にかかる費用相場
次に、ISMS認証(ISO27001)を取得後、維持・更新にかかる費用を解説します。ISMS認証は、取得時のみでなく運用後も以下の審査を受ける必要があります。
定期審査
定期審査とは、1年ごとに行われる審査です。
ISMSが有効に機能しているかを確認するものなので、審査工程や審査費用は、取得審査の1/3程度です。例えば、取得審査が100万円だった場合には、30万円程度がかかるでしょう。
更新審査
更新審査とは、ISMS認証の有効期限が切れる3年ごとに行われる審査です。
認証を更新するために実施するため、取得審査と同程度の工数がかかります。一方、費用相場は、取得審査の2/3程度です。例えば、取得審査が100万円だった場合には、60万円程度がかかるでしょう。
そのほかのISO認証取得にかかる費用の詳細は、以下の記事をご覧ください。
ISMS認証(ISO27001)は、費用がかかっても取得すべき?
ここまで、ISMS認証(ISO27001)にはまとまった資金が必要になることを解説しました。最後に、費用がかかっても取得すべきかどうかというISMS認証(ISO27001)の必要性について解説します。
必要性を実感するには、さまざまな企業の経営者の声を把握することが最も信憑性が高いでしょう。そのため、ここではISOプロを運営するNSSスマートコンサルティング株式会社が実施した実態調査を紹介します。
従業員数300人以下のIT系中小企業経営者を対象にした「自社の情報セキュリティ管理の課題」に、ISMS認証やセキュリティ体制についてアンケートを実施。その中からISO27001取得の必要性に関する質問内容と回答を抜粋しました。
| 質問内容 | 「はい」と答えた割合 | 「いいえ」と答えた割合 |
|---|---|---|
| ISO27001取得により、取引先や顧客からセキュリティに関する信頼が得られると思うか? | 84.3% | 15.7% |
| ISO27001などの認証がないことで、実際に契約に至らなかったことはあるか? | 65.2% | 34.8% |
「ISO27001取得により、取引先や顧客からセキュリティに関する信頼を得られる」と回答した経営者は8割以上、「実際に取得していないことで契約に至らなかった」経験があると回答した経営者も6割以上にのぼります。
このようにISO27001の取得は事業活動を続ける中で、欠かせない規格になりつつあるといえるでしょう。ISO27001に限ったことではありませんが、費用以上に得られるメリットがある場合には取得することがおすすめです。
この実態調査の詳細は、以下の記事をご覧ください。
ISMS認証を取得するメリット
こうした費用をかけてISMS認証取得することにより、どのようなメリットが得られるのでしょうか?ここでは、ISMS認証を取得するメリットについて解説します。
対外的にアピールできる
最大のメリットが、取引先などに情報セキュリティに対する意識の高さをアピールできることです。
ISMS認証を取得したということは、第三者の立場である認証機関にISO27001に適合した運用をしていることが認定されています。そのため、他社に対し「自社でしっかりと情報セキュリティについて取り組みを行っている」というアピールができます。企業としての信用性がアップし、安心感を与えられるでしょう。
従業員の意識向上
ISMSの認証取得にあたって、情報セキュリティに関するルールの作成や社内周知が必要なことから、従業員の情報セキュリティに対する意識の向上が見込めます。
取得前はなんとなく行っていた情報セキュリティに関して、ISMSの取得は従業員の中で意識を向上させる絶好の機会になるでしょう。
また、ISMSでは運用の取り組みにおいて社員教育や内部監査の実施が求められています。そのため、自社のセキュリティ管理に対する行動や意識が間違っていれば、改める機会が設けられているのです。
情報セキュリティリスクの低減
ISMS認証は、情報セキュリティ管理を強固する規格であるため、情報セキュリティのリスクが低減されます。
ISMS認証では、組織にある個人情報や機密情報などの情報資産や業務フローをもとに、定期的なリスクアセスメントを実施することを求めています。情報セキュリティリスクを把握し、そのリスクへの対応の計画を立てることで、今まで対応できていなかったことや気づけていなかった問題点の把握もできるようになるでしょう。
まとめ
ISO27001(ISMS認証)を取得するためには、決して少なくない時間や費用が必要になります。しかし、情報セキュリティに関してしっかりと取り組みを行っていくことが昨今の情報化社会では求められています。そのため、たった一度の情報漏洩によって会社が倒産してしまうというような事態は決して珍しい話ではありません。
しっかりと規格に沿った情報セキュリティを構築・運用し、定期的に第三者機関の審査を受けることで、セキュリティリスクを大幅に低減できるでしょう。
企業の未来を守っていくためにも、個人情報や顧客の機密情報などを扱うような業務であれば、一度ISMSの導入を検討してみてはいかがでしょうか?
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい