【保存版】ISMS認証(ISO27001)の取得費用は?内訳や相場を解説
- ISMSは企業の情報資産を保護するための仕組みのこと
- ISMS認証を取得するには、ISO27001の要求事項に沿ったマネジメントシステムの構築・運用が必要となる
企業が保有する資産にはヒト、カネ、モノなどさまざまなものがありますが、その中でも個人情報や機密情報といった情報資産の重要性がこの情報化社会の中で高まってきています。
こうしたプライバシーの保護や情報漏洩を防ぐために、情報セキュリティマネジメントシステムの国際規格であるISMS 認証(ISO27001 )の取得の重要性が増しています。しかし、取得するには人件費や審査費用などを考えるとある程度まとまった費用が必要です。
そこで、今回はISMS認証(ISO27001)取得にかかる費用や費用をかけてでも取得されている理由や必要性について解説します。
目次
ISMS認証(ISO27001)取得費用の内訳
ISMS認証の取得費用の内訳には、「人件費」や「コンサル依頼料」、「審査費用」、「ISMS構築にかかる費用」の4つがあります。ここでは、それぞれの費用について解説します。
人件費
ここでいう人件費とは、「ISO27001を取得するために必要な工程を実施する社員に支払う賃金」のことです。一般的には社内で任命したISO事務局やISO担当者にかかる費用です。
例えば、以下の場合には月30万円×12か月で360万円の人件費がかかっているといえます。
- ISO担当者:1人(月30万円の給与)
- 1年間、本来の業務を行わずにISO27001に関する業務のみを担当した場合
通常時と変わらない人件費しか発生しないため、一見すると費用がかかっていないように感じられるかもしれません。
しかし、ISO担当者は本来の業務ができなくなるため、業務の効率や生産性が低下するといった「見えない損失」が発生するのです。ISMS認証取得にかかる人件費を抑えられるかどうかは、ISO担当者の経験やノウハウによって大きく変動するでしょう。
コンサル依頼料
ISMS認証取得には、「自社の社員のみで取得する自社取得」と「コンサルに取得サポートを依頼するコンサル取得」があります。
コンサルティング業者に依頼する場合には、50万~200万円が費用相場です。
ただし、コンサル依頼料は企業規模や認証範囲、取得支援の内容によって異なるため、見積もりを依頼すると良いでしょう。
審査費用
ISMS認証を取得するには、基本的に各国に一つだけ存在する認定機関からの認証を受けた審査機関(認証機関)の取得審査(認証審査)を受けることが必要です。
審査費用の相場は、審査機関や企業規模、業種によって異なりますが約50~150万円です。以下に、業種別の費用相場をまとめましたので、参考にしてください。
| 業種 | 1-20名 | 21-50名 | 51-100名 | 101名以上 |
|---|---|---|---|---|
| 製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
| 建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
| ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
| システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
| WEB制作 | 55万円 | 81万円 | 97万円 | – |
| 卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
| コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
| 保険業 | 58万円 | – | 100万円 | 113万円 |
| 不動産 | 62万円 | – | 97万円 | 113万円 |
※2022年7月調査(ISOプロ調べ)。現在の費用と異なる可能性があるため詳しくはお問合せください。
また審査機関と自社までの距離が遠い場合には、別途ISO審査員の宿泊費がかかる場合があります。
ISMS構築にかかる費用
ISMS構築のために機器・設備を導入する場合には、費用が別途かかります。
ただし、自社で必要と判断した場合にかかる費用であるため、必ずかかる費用ではありません。必要かどうか迷う機器がある場合には、自社の情報セキュリティ方針に沿って、導入すべきかどうかを決めましょう。
ISMS認証(ISO27001)取得にかかる費用相場
ここでは、ISMS認証(ISO27001)取得にかかる費用を、「自社取得した場合」と「コンサルに依頼した場合」で比較します。
ただし、事業規模やコンサル業者によって費用相場は異なるため、参考程度にご覧ください。
自社取得した場合
自社取得の場合には、人件費(担当者の人数×給与×取得に費やした期間)がかかります。例えば、以下の場合におけるISMS認証の取得費用相場を考えます。
- 企業:21名~50名のITサービス企業
- ISO担当者:月30万円の給与の社員2人
- 取得にかかった期間:1年間
この場合、ISMS認証取得にかかる費用の総額は、以下のようになると考えられます。
| 人件費 | 2人×30万円×1年間=720万円 |
|---|---|
| コンサル依頼料 | なし |
| 審査費用 | 76万円 |
| 合計 | 796万円 |
一見、審査費用のみがかかった費用に感じられますが、人件費を考慮すると総額は796万円と高額になります。
コンサルに依頼した場合
コンサルタントを利用した場合には、年間でおよそ50~150万円程度のコンサルティング依頼料がかかります。
コンサルにより削減できる工数や期間は異なりますが、ここでは自社社員の工数が8割削減できた場合で考えます。また、ISO27001取得をコンサルに依頼した場合にかかる期間は、一般的に約6か月です。
その他の条件は自社取得と変わらないとして計算すると、この場合の費用相場は、以下の式から程度になると考えられます。
| 人件費 | (2人×30万円×6か月)×20%=72万円 |
|---|---|
| コンサル依頼料 | 50~150万円 |
| 審査費用 | 76万円 |
| 合計 | 198~298万円 |
審査費用にコンサル依頼料が追加されることで、一見コンサルに依頼した方が高額に見えますが、結果的にコンサルに依頼する方が安く取得できることがわかります。
今回は例で紹介しましたが、実際に多くの企業がコンサルに依頼する方が「コスパに優れている」と感じてISMS認証を取得しています。
コンサルの選び方や依頼するメリットなどは以下の記事で詳しく解説しています。ぜひ参考にしてください。
ISMS認証(ISO27001)取得後にかかる費用相場
ISMS認証は、認証取得後も定期審査や更新審査を受ける必要があります。
ここでは、ISMS認証(ISO27001)を取得後、維持・更新にかかる費用を解説します。
定期審査の費用相場
定期審査とは、1年ごとにISMSが有効に機能しているかを確認する審査です。
審査工程や審査費用は、取得審査の1/3程度です。例えば、取得審査が100万円だった場合には、30万円程度がかかります。
更新審査の費用相場
更新審査とは、ISMS認証の有効期限が切れる3年おきに、認証を更新するために実施する審査です。
取得審査と同程度の工数がかかる一方、費用相場は取得審査の2/3程度です。例えば、取得審査が100万円だった場合には、60万円程度がかかるでしょう。
そのほかのISO認証取得にかかる費用の詳細は、以下の記事をご覧ください。
ISMS認証(ISO27001)は、費用がかかっても取得すべき?
ISMS認証(ISO27001)取得にはまとまった資金が必要だと解説しましたが、「費用がかかっても取得すべき」なのでしょうか。
ここではISMS認証(ISO27001)の必要性を解説するために、ISOプロを運営するNSSスマートコンサルティング株式会社が実施した実態調査の結果を紹介します。
「ISMS認証は必要?」アンケート調査の結果
従業員数300人以下のIT系中小企業経営者を対象に、「自社の情報セキュリティ管理の課題」としてISMS認証やセキュリティ体制についてアンケートを実施しました。
以下に、ISO27001取得の必要性に関する質問内容と回答を抜粋しています。
| 質問内容 | 「はい」と答えた割合 | 「いいえ」と答えた割合 |
|---|---|---|
| ISO27001取得により、取引先や顧客からセキュリティに関する信頼が得られると思うか? | 84.3% | 15.7% |
| ISO27001などの認証がないことで、実際に契約に至らなかったことはあるか? | 65.2% | 34.8% |
「ISO27001取得により、取引先や顧客からセキュリティに関する信頼を得られる」と回答した経営者は8割以上、「実際に取得していないことで契約に至らなかった」経験があると回答した経営者も6割以上にのぼります。
このように情報セキュリティ体制が重視される昨今において、ISO27001は事業活動に欠かせない規格になりつつあります。そのため、費用以上に得られるメリットがある場合に、ISO27001を取得する必要性は大いにあるといえるでしょう。
この実態調査の詳細は、以下の記事をご覧ください。
ISMS認証(ISO27001)取得にかかる費用を抑える方法
ISMS認証(ISO27001)取得にかかる費用を抑える方法を解説します。
複数の審査機関に見積もりを取ったうえで選定する
審査費用は、審査機関が設定しているものなので審査機関によって異なります。企業規模や業種によって左右する場合が多いため、複数の審査機関に見積もりを依頼することで、最もコストパフォーマンスに優れた審査機関を見つけられるでしょう。
また実地審査は、基本的にISMS認証を取得する現地で実施されるため、審査機関から現地までの交通費がかかります。遠距離で宿泊が必要な場合には宿泊費がかかる可能性もあります。
こうした点も留意して、なるべく近場の審査機関を選ぶことも費用の低減につながります。
自社に合ったコンサルを選ぶ
費用を直接抑えられる方法ではありませんが、コストパフォーマンスを高める方法に自社に合ったコンサルを選ぶことが挙げられます。審査機関によって、得意な規格や知見が深い業種などが異なります。
また審査における方針や審査機関も異なり、例えば「より改善につながるような審査を実施しよう」という場合や「審査に認証することを第一に考えて審査しよう」という場合もあります。
こうしたさまざまな違いがあるため、自社の希望に沿った審査を受けられる審査機関を選ぶことで、「マネジメントシステムが改善し、生産性向上につながった」「スムーズな認証し特につながった」というような費用以上の効果を得られるでしょう。
ISOコンサルの主なサポート内容や選ぶポイントは、以下の記事で解説しています。
ISMS認証(ISO27001)取得を効果的にするコンサルの選び方
ここまで、ISMS認証を取得する場合には、コンサル取得の方が費用を抑えられると解説してきましたが、費用を抑えて効果を高めるには、コンサル選びも重要です。
そこで、以下により効果的なISMS認証取得につながるコンサルを見極めるポイントをいかにまとめました。
- コンサルタントの経験・実績が豊富か
- 自社に適した審査機関の提案が可能か
- 自社の実情に合ったISMS構築の提案が可能か
- サポート体制は充実しているか
これらの点を一つひとつ確認することで、自社に合ったコンサル選びができるでしょう。以下の記事で、より詳しく解説しているため参考にしてください。
コンサルに依頼した企業の実際の声
ISOプロを運営するNSSスマートコンサルティング株式会社では、コンサルに取得サポートを依頼した200人の経営者・経営幹部を対象に、コンサルへの満足度や依頼した理由などのアンケート調査を実施しました。
- 『とても満足している(22.5%)』
- 『ある程度は満足している(60.5%)』
- 『あまり満足していない(14.5%)』
- 『まったく満足していない(2.5%)』
また『とても満足している(22.5%)』と回答した方の理由を、以下に抜粋しています。
- 更新審査までのフォローだけでなく、認定後もしっかりコンサルをいただいた(50代/男性/大阪府)
- 丁寧だったから(50代/男性/東京都)
- 取得後も継続的なサポートがある(60代/男性/北海道)
こうした結果から、コンサルにISO規格の取得サポートを依頼した企業の大部分が満足できていることがわかります。
コンサルに依頼するか迷っている企業は、ぜひ以下のアンケート調査も参考にしてください。
まとめ
ISO27001(ISMS認証)を取得するためには、決して少なくない時間や費用が必要になります。しかし、情報セキュリティに関してしっかりと取り組みを行っていくことが昨今の情報化社会では求められています。そのため、たった一度の情報漏洩によって会社が倒産してしまうというような事態は決して珍しい話ではありません。
しっかりと規格に沿った情報セキュリティを構築・運用し、定期的に第三者機関の審査を受けることで、セキュリティリスクを大幅に低減できるでしょう。
企業の未来を守っていくためにも、個人情報や顧客の機密情報などを扱うような業務であれば、一度ISMSの導入を検討してみてはいかがでしょうか?
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい