ISMS認証
管轄: 認証機関(審査登録機関) / 根拠法令: JIS Q 27001(ISO/IEC 27001)
情報セキュリティマネジメントシステムの認証
ISMS認証は、一定の準備が必要ですが、手順を押さえれば着実に取得できる許認可です。申請費用が高額になるケースがあるため、事前の資金計画が重要です。審査が長期にわたる傾向があるため、半年以上前から計画的に準備を進めることが重要です。なお、3年ごとの更新が必要なため、取得後も継続的な管理が求められます。
ISMS認証とは何か
ISMS認証は、組織の情報セキュリティマネジメントシステムが国際規格 ISO/IEC 27001(国内では JIS Q 27001)に適合していることを、第三者である認証機関(審査登録機関)が審査・登録する制度です。行政の許認可ではなく任意の認証ですが、官公庁・大企業の入札やクラウド・受託開発の取引で「ISMS認証取得」が参加条件・選定要件になることが多く、実質的な営業要件として取得が進んでいます。情報の機密性・完全性・可用性を、属人的でなく組織の仕組みとして管理できている点を証明するのが目的です。
対象となる事業者
個人情報や顧客の機密情報を扱う企業、SES・システム受託開発、データセンター・クラウド事業者、コールセンター、人材・BPO事業者などが中心です。認証は「組織全体」でも「特定の事業部・拠点のみ」でも取得でき、この対象範囲(適用範囲)の設定が取得設計の出発点になります。
取得の必須要件
- 情報セキュリティ基本方針と、規格が求める文書群の整備(リスクアセスメント手順、適用宣言書=SoA など)
- 情報資産の洗い出しとリスクアセスメントの実施、管理策の決定
- PDCA に基づく実運用の記録(アクセス管理、インシデント対応、教育など)
- 内部監査とマネジメントレビューの実施実績
特に「文書を作っただけ」では通らず、審査前に数か月の運用実績(記録)が必要です。
申請から取得までの流れ
1. 適用範囲の決定と文書整備 2. 運用開始(記録を蓄積、内部監査・マネジメントレビューを一巡させる) 3. 第一段階審査(文書審査) 4. 第二段階審査(現地での運用審査) 5. 指摘事項の是正後、認証登録
その後は年1回のサーベイランス(維持)審査、3年ごとの更新(再認証)審査が続きます。
費用の内訳
費用の幅が大きいのは、組織規模・人数・拠点数・適用範囲で審査工数(人日)が変わるためです。主な内訳は、認証機関へ支払う審査料(初回審査+年次サーベイランス+3年目の更新審査)、コンサルティング費用、登録維持費です。小規模・単一拠点なら初期費用は数十万円台、複数拠点や大規模組織では百万円超になります。金額は認証機関ごとに異なるため、複数機関から見積もりを取るのが実務上の鉄則です。
よくある不適合・差し戻し
- 適用範囲が曖昧で、対象組織・対象資産が特定できない
- リスクアセスメントが形式的で、管理策の選定根拠が示せない
- 適用宣言書(SoA)と現場の実態が乖離している
- 内部監査・マネジメントレビューが未実施、または記録が不足
関連する認証
クラウドサービス提供者向けの ISMSクラウドセキュリティ認証(ISO/IEC 27017)、個人情報保護に特化したプライバシーマークや ISO/IEC 27701 を併せて検討する組織が多いです。取引先の要求が「Pマークか ISMS か」で分かれることもあるため、取得目的(入札要件か、個人情報保護か)を先に確認してから着手すると無駄がありません。
申請費用が高額なため、事業計画に組み込んだ上で余裕を持った資金準備をおすすめします。
申請手順
- 1審査登録機関に申請
- 2文書審査(ステージ1)
- 3実地審査(ステージ2)
- 4認証書の交付
ISMS認証の取得でお困りですか?
無料で相談する →取得のポイント
- ●行政書士などの専門家への依頼を積極的に検討しましょう。初回は特に専門家のサポートが有効です。
- ●事前相談は必須です。申請窓口で個別の要件や注意点を確認してから書類作成に入りましょう。
- ●書類の種類が多いため、準備に1〜2か月は見込んでおくと安心です。
- ●補正指示(書類の修正依頼)が入ることを想定し、担当者との連絡手段を確保しておきましょう。
- ●類似の許認可を取得した事業者に体験談を聞くと、具体的な注意点がわかります。
次にやるべきこと
必要書類
よくある質問
この許認可が必要な業種
関連する許認可
ISMS認証と一緒に必要になることが多い許認可です。
詳しく知る
📅 この許認可の更新期限を管理する
カレンダーで一元管理 · メール通知 · 書類チェックリスト