【規模別】ISMS認証(ISO27001)の取得費用は?取得・更新の総額と内訳を徹底解説
FAQISMS認証(ISO27001)の取得費用に関するよくある質問
ISMSって何ですか?
ISMSは企業の情報資産を管理・保護するための仕組みのことです。
ISMS認証はどうやって取得するんですか?
ISMS認証を取得するには、ISO27001の要求事項に沿ったマネジメントシステムの構築・運用が必要となります。
ISMS認証(ISO27001)の取得費用は、審査費用だけで約50万円〜150万円、コンサル費用や人件費まで含めた総額では100万円以上になるケースも少なくありません。
サイバー攻撃や情報漏えいが社会問題化する現代において、情報セキュリティの管理体制は企業の信頼性を左右する重要な要素の一つです。
こうした背景から、国際規格であるISMS認証(ISO27001)への注目が高まっていますが、「実際にどのくらい費用がかかるのか」「どんな費用が発生するのか」を正確に把握できていない担当者の方も多いのではないでしょうか。
そこで本記事では、ISMS認証(ISO27001)の取得・維持にかかる費用の内訳と相場を、企業規模別にわかりやすく解説します。費用を抑えるポイントや取得するメリットについても紹介しますので、導入検討中の方はぜひ参考にしてください。
目次
ISMS認証(ISO27001)とは?知っておくべき基礎知識
ISMS認証とは、自社の情報セキュリティマネジメントシステム(ISMS)が国際規格ISO27001に適合していることを第三者機関が認証する制度です。
取得することで、「国際基準に沿った情報セキュリティ体制を構築・運用できている」ということを、社外に客観的に示せるようになります。
ISMSとは、組織が保有する情報資産を守るための仕組み全体を指します。単にセキュリティツールを導入するだけでなく、ルールを定め、全社で運用し、継続的に改善していく体制を構築することが求められます。
ISMS認証(ISO27001)を取得することで、以下のような効果が期待できます。
- 情報漏えいリスクへの対策
- 取引先からの信頼向上・入札
- 取引条件への対応
費用や手間がかかる一方で、多くの企業がISMS認証の取得に取り組んでいるのは、こうした効果が自社の競争力や事業継続に直結するためです。
ISO27001そのものの仕組みや詳細は、以下の記事をご覧ください。
ISMS認証(ISO27001)の取得費用を左右する要因と試算のポイント
ISMS認証(ISO27001)の取得費用は、企業の規模や状況によって大きく異なります。審査費用だけで数十万円から150万円以上の差が生じることもあるため、まず「何が費用を左右するのか」を正しく理解することが大切です。
取得費用を左右する主な要因
ISMS認証の取得費用に影響する主な5つの要因を以下にまとめました。
| 要因 | 費用への影響 |
|---|---|
| 組織の規模 | 人数や拠点数が多いほど審査工数が増え、費用も高くなる |
| 適用範囲 | 全社適用か、一部部署のみかなど、適用範囲の広さで費用が変わる |
| 業種・業態 | 情報資産の種類やリスクの多さによって費用が変わる |
| 社内の体制 | 既存ルールや必要な設備が整っていない場合、準備コストが増える可能性がある |
| コンサル利用有無 | 自社対応か、コンサルタントのサポートを利用するかで総額が変動する |
費用試算は「適用範囲」の設定から始める
費用の概算を把握するうえで、最初に決めるべきなのが「適用範囲」の設定です。適用範囲が広いほど審査日数が増え、審査費用も高くなる傾向があります。
| 取得費用が高額になる | 取得費用を抑えられる |
|---|---|
| 全社を対象にする | 特定の部署・拠点のみに限定する |
自社取得を検討している場合は、まず「どの範囲でISMSを運用するか」を明確にしたうえで、審査機関やコンサルティング会社に見積もりを依頼することで、より正確な費用感をつかむことができます。
【企業規模別】ISMS取得費用(ISO27001)の相場一覧
ISMS認証(ISO27001)の取得にかかる総費用は、審査費用だけでなく、コンサル費用・人件費なども含めて試算しておくことが重要です。以下に、企業規模別の総額相場をまとめました。
| 従業員数 | 審査費用 | コンサル費用(任意) | 人件費 | 総額目安 |
|---|---|---|---|---|
| 〜20名 | 約50万〜60万円 | 約30万〜100万円 | 企業による | 約95万〜160万円+人件費 |
| 21〜50名 | 約70万〜85万円 | 約50万〜150万円 | 企業による | 約120万〜235万円+人件費 |
| 51〜100名 | 約95万〜105万円 | 約100万〜200万円 | 企業による | 約195万〜305万円+人件費 |
| 101名以上 | 約110万〜130万円 | 約150万〜200万円以上 | 企業による | 要見積もり |
※コンサル費用は利用する場合の目安です。自社取得の場合は不要ですが、その分人件費・工数が増加します。人件費は担当者数・対応期間・給与水準によって大きく変動します。
規模が小さいほど総額は抑えやすい一方、社内のノウハウが不足している場合はコンサルを活用することで、結果的に人件費や工数の削減につながるケースもあります。自社の状況に合わせて、コンサル利用の有無も含めたトータルコストで比較検討することをおすすめします。
ISMS認証(ISO27001)取得費用の内訳・相場
ISMS認証(ISO27001)の取得費用の内訳には、「審査費用」や「人件費」、「コンサル依頼料」、「ISMS構築にかかる費用」の4つがあります。ここでは、それぞれの費用概要や相場について解説します。
登録審査費用
ISMS認証(ISO27001)を取得するには、外部の審査機関による登録審査(認証審査)を受ける必要があり、審査費用を支払うことが必須です。
審査費用の相場は、審査機関や企業規模、業種によって異なりますが約50~150万円です。以下に、業種別の費用相場をまとめましたので、参考にしてください。
| 業種 | 1-20名 | 21-50名 | 51-100名 | 101名以上 |
|---|---|---|---|---|
| 製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
| 建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
| ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
| システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
| WEB制作 | 55万円 | 81万円 | 97万円 | – |
| 卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
| コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
| 保険業 | 58万円 | – | 100万円 | 113万円 |
| 不動産 | 62万円 | – | 97万円 | 113万円 |
※2022年7月調査(ISOプロ調べ)。現在の費用と異なる可能性があるため詳しくはお問合せください。
また別途、ISO審査員の交通費も負担する必要があります。審査機関から審査を受ける場所(本社、支社など)までにかかる交通費です。さらに、審査機関と審査を受ける場所の距離が遠い場合には、宿泊費がかかる場合があります。
人件費
ISMS認証の取得にかかる人件費は、担当者数や対応期間によって数百万円〜数千万円規模になることもあります。
ここでいう人件費とは、「ISO27001の取得に必要な作業を行うISO事務局やISO担当者に支払う賃金」のことです。
例えば、以下のような条件で試算してみましょう。
| 条件 | 内容 |
|---|---|
| 担当者数 | 1人 |
| 月給 | 30万円 |
| 対応期間 | 12か月(専任) |
| 人件費合計 | 30万円×12か月=360万円 |
給与は通常通り支払われるため、「新たな出費がない=費用ゼロ」と捉えられがちです。しかし実際には、担当者が本来の業務から離れることで業務効率や生産性が低下する「見えない損失」が発生しています。
また、担当者がISMS取得に不慣れな場合、想定以上に時間と工数がかかることも少なくありません。人件費を抑えるためには、経験やノウハウを持つ担当者のアサインや、コンサルタントの活用による工数削減も有効な手段の一つです。
コンサル依頼料(任意)
ISMS認証(ISO27001)の取得に際し、コンサルティング業者に依頼する場合は、約45万~200万円が費用相場です。支援内容や企業規模、認証範囲によって金額は大きく異なります。
コンサルタントへの依頼は任意ですが、依頼することで費用はかかるが、自社取得するよりも工数削減・スムーズな取得が期待できます。
ISMS構築にかかる費用(任意)
ISMS構築のために機器・設備を導入する場合には、費用が別途かかります。
ただし、自社で必要と判断した場合でのみかかる費用であるため、自社の情報セキュリティ方針に沿って、新たな機器・設備が必要かどうかを決めましょう。
ISMS認証(ISO27001)取得後にかかる費用の内訳・相場
ISMS認証(ISO27001)は、認証取得後も定期審査や更新審査を受ける必要があり、定期的に経費が発生します。
ここでは、ISMS認証(ISO27001)を取得後、維持・更新にかかる費用を解説します。
【毎年】維持審査の費用相場
毎年かかる維持審査の審査工数・審査費用は、取得審査の1/3程度です。例えば、取得審査が100万円だった場合には、30万円程度がかかります。
維持審査(定期審査)とは、1年ごとにISMSが有効に機能しているかを確認する審査です。認証取得後は、維持審査を必ず年に1回以上受ける必要があるため、費用負担について念頭に置いておく必要があります。
【3年ごと】更新審査の費用相場
取得審査と同程度の工数がかかる一方、更新審査にかかる費用の相場は取得審査の2/3程度です。例えば、取得審査が100万円だった場合には、60万円程度がかかるでしょう。
更新審査とは、ISMS認証の有効期限が切れる3年おきに、認証を更新するために実施する審査です。更新審査を経て、再度認証の有効期限が3年間付与されます。
コンサル依頼料
ISMS認証(ISO27001)取得後にコンサルを利用する場合の費用相場は、月額数万円〜10万円程度が一般的で、年間では30万円〜120万円前後となるケースが多く見られます。
ISMS認証の取得後も、「担当者の負担を減らしたい」「審査対応を安定させたい」といった場合に、日常の運用・改善や審査対応に関するサポートを依頼する企業は少なくありません。
例えば、以下のようなサポートが挙げられます。
- 維持審査・更新審査に向けた準備サポート
- 規程やルールの見直し・更新対応
- 是正指摘への対応支援
- 文書・帳簿のスリム化
- 内部監査員の講習
- 複数拠点サポート
取得後もコンサルタントを活用することで、人件費・担当者の負担軽減につながります。
そのほかのISO認証取得にかかる費用の詳細は、以下の記事をご覧ください。
ISMS認証(ISO27001)取得・維持にかかる費用総額
ISMS認証(ISO27001)取得・維持にかかる費用の総額は、取得年度で約50万円~150万円、2年目以降は毎年約15万円~150万円です。
以下にISMS認証(ISO27001)の取得・維持にかかる費用をまとめました。実際の金額は、企業の規模や業種、審査機関の条件などにより異なるため、おおよその目安として参考にしてください。
| 費用区分 | 1年目 | 2・3年目 | 4年目 |
|---|---|---|---|
| 審査費用 | 約50~85万円(登録) | 約15~35万円(維持) | 約30~70万円(更新) |
| 登録料 | 約3~5万円 | – | 約3~5万円 |
| 人件費 | 企業による | 企業による | 企業による |
| コンサル費用(任意) | 約45万円~※6ヶ月で取得した場合 | 約90万円~※年間契約の場合 | 約90万円~※年間契約の場合 |
| ISMS構築にかかる費用やマネジメントシステムの設備・機器の維持/管理費 | 企業による | 企業による | 企業による |
| 費用総額 | 約98万円~+人件費 | 約65万円~+人件費 | 約78万円~+人件費 |
※従業員50名未満の企業を想定した場合の概算です。
ISMS認証(ISO27001)の取得費用を抑えるポイント
ISMS認証(ISO27001)の取得費用を抑えるポイントを解説します。
複数の審査機関に見積もりを取ったうえで選定する
審査費用は、審査機関が設定しているものなので審査機関によって異なります。企業規模や業種によって左右する場合が多いため、複数の審査機関に見積もりを依頼することで、最もコストパフォーマンスに優れた審査機関を見つけられるでしょう。
また実地審査は、基本的にISMS認証を取得する現地で実施されるため、審査機関から現地までの交通費がかかります。遠距離で宿泊が必要な場合には宿泊費がかかる可能性もあります。
こうした点も留意して、なるべく近場の審査機関を選ぶことも費用の低減につながります。
自社に合ったコンサルを選ぶ
費用を直接抑えられる方法ではありませんが、コストパフォーマンスを高める方法に自社に合ったコンサルを選ぶことが挙げられます。自社に合ったコンサルを選ぶには、以下のような観点から複数のコンサルを比較検討することが求められます。
- コンサルタントの経験・実績が豊富か
- 自社に適した審査機関の提案が可能か
- 自社の実情に合ったISMS構築の提案が可能か
- サポート体制は充実しているか
自社に適したコンサルを選ぶことで、「マネジメントシステムが改善し、生産性向上につながった」「スムーズな認証取得につながった」というような費用以上の効果を得られるでしょう。
助成金・補助金制度を活用する
ISMS認証(ISO27001)の取得費用は、助成金・補助金制度を活用することで一部を抑えられる場合があります。以下に、これまで募集があった制度の一部を紹介します。
| 制度 | 概要 | 補助額の目安 |
|---|---|---|
| 自治体の助成金(例:東京都港区「ISO等認証取得支援事業」) | 登録料・申請料・審査料・コンサルタント委託料などが対象 | 対象経費の1/2以内(上限50万円)程度 |
| IT導入補助金 | ISMS運用に関わるクラウド型管理ツールの導入が対象となる場合あり | 導入費用の最大1/2 |
制度の内容や申請条件は自治体・年度によって異なるため、まず自社の本社所在地の自治体窓口に問い合わせてみましょう。
ISOコンサルの主なサポート内容や選ぶポイントは、以下の記事で解説しています。
ISMS認証(ISO27001)を取得するメリット
ISMS認証(ISO27001)を取得するメリットは、以下のとおりです。
- 取引機会の拡大
- 情報漏えい・事故のリスク低減による損失の防止
- 業務効率の向上
ここでは、費用をかけてISMS認証(ISO27001)を取得するメリットや効果について解説します。
取引機会の拡大
ISMS認証を取得することで、「情報セキュリティの管理体制が国際基準を満たしている」ことを客観的に証明でき、取引機会の拡大につながります。特に以下のような場面で効果を発揮します。
- 大手企業との取引
- 官公庁・自治体の入札
- IT・システム開発などのセキュリティ要件が厳しい業界
実際に、従業員数300人以下のIT系中小企業経営者を対象にしたアンケート調査から、ISMS認証の取得が取引機会に与える影響について見てみましょう。
| 質問内容 | 回答結果 |
|---|---|
| ISO27001取得により、取引先・顧客からの信頼を得られると思うか | はい:84.3% いいえ:15.7% |
| 認証がなく、契約に至らなかった経験があるか | はい:65.2% いいえ:34.8% |
この結果から、ISMS認証の有無が、取引の可否に直接影響するケースがあることがわかります。
情報漏えい・事故のリスク低減による損失の防止
ISMS認証(ISO27001)の取得過程では、自社の情報セキュリティリスクを特定・評価し、リスク低減のための仕組みと運用体制を整備する必要があります。
結果として、情報漏えいやサイバー攻撃への対策が強化され、以下のような損失を未然に防ぐことができます。
- 情報漏えいによる損害賠償リスクの低減
- サイバー攻撃による業務停止リスクの軽減
- 社会的信用の失墜による取引機会の喪失を防止
万一インシデントが発生した場合でも、整備された対応体制により被害を最小限に抑えられる点も大きなメリットです。
業務効率の向上
ISMSの導入は、情報セキュリティ対策にとどまらず、組織全体の業務プロセスの「見える化」と効率化にもつながります。具体的には以下のような効果が期待できます。
- 情報資産の棚卸しを通じて、複雑化・属人化した業務や重複作業が明らかになり、改善のきっかけを得られる
- 責任者・担当者の役割を明確化することで、情報の所在や権限のあいまいさが解消され、組織全体の統制力が向上する
ISMS認証の取得は、セキュリティ強化と業務効率化を同時に実現できる取り組みといえるでしょう。
まとめ
ISO27001(ISMS認証)を取得するためには、決して少なくない時間や費用が必要になります。しかし、情報セキュリティに関してしっかりと取り組みを行っていくことが昨今の情報化社会では求められています。そのため、たった一度の情報漏えいによって会社が倒産してしまうというような事態は決して珍しい話ではありません。
しっかりと規格に沿った情報セキュリティを構築・運用し、定期的に第三者機関の審査を受けることで、セキュリティリスクを大幅に低減できるでしょう。
企業の未来を守っていくためにも、個人情報や顧客の機密情報などを扱うような業務であれば、一度ISMSの導入を検討してみてはいかがでしょうか?
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい