2σ Guide

ISMS認証取得と
社内体制構築の実務

企業法務、内部統制、個人情報保護、契約管理、情報セキュリティを一体で設計するための要点を、2026年6月11日時点の制度動向を踏まえて整理します。

2025JIS Q 27001改正
2段階認証審査の基本
3年再認証サイクル
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Overview

ISMS認証取得と社内体制構築の位置づけ

このページの前提、対象読者、基準日、認証文書上の注意点を整理します。

このページは、ISMS認証取得と社内体制構築について、企業法務に関係する問題に悩む経営者、法務担当者、コンプライアンス担当者、個人情報保護担当者、情報システム部門、内部監査部門、管理部門、士業・専門職の読者を想定して作成した専門解説です。

このページの編集方針は、弁護士、企業内弁護士、外部弁護士、法務担当、コンプライアンス担当、内部監査担当、個人情報保護担当、公認会計士、税理士、社会保険労務士、弁理士、情報セキュリティ担当、デジタルフォレンジック専門家、リスクマネジメント担当などが共同で論点を整理する場合の水準を想定しています。もっとも、このページは一般的な情報提供を目的とするもので、個別案件の法的助言、認証審査の合格保証、または特定の認証機関の審査判断を代替するものではありません。

このページの基準日は2026年6月11日です。日本国内の実務では、ISO/IEC 27001:2022およびISO/IEC 27001:2022/Amd 1:2024に対応するJIS Q 27001:2025への言及が重要です。認証文書上の表記、移行、審査運用については、必ず契約予定または契約中の認証機関にも確認する必要があります。ISMS-ACは、JIS Q 27001:2025が2025年5月20日に公示され、JIS Q 27001:2023は追補1によりJIS Q 27001:2025となる旨を公表しています。

Video

ISMS認証取得と 社内体制構築の実務

IT部門の認証作業ではなく、企業統治の設計として全体像を押さえます。

動画を読み込み中…
2σ GUIDE ・ VIDEO
ISMS認証取得と 社内体制構築の実務
IT部門の認証作業ではなく、企業統治の設計として全体像を押さえます。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • ISMS認証取得と 社内体制構築の実務
  • IT部門の認証作業ではなく、企業統治の設計として全体像を押さえます。

POINT 1

  • ISMS認証取得と社内体制構築の位置づけ
  • 認証文書上の表記、移行、審査運用については、必ず契約予定または契約中の認証機関にも確認する必要があります。

POINT 2

  • ISMS認証取得と社内体制構築の要旨
  • IT部門の認証作業ではなく、企業統治の設計として全体像を押さえます。
  • 情報リスクを経営管理の言葉に置き換える仕組みです
  • 次の重要ポイントは、ISMS認証取得と社内体制構築が何を実現する仕組みなのかを表しています。
  • 企業法務の観点からは、ISMSは「法令違反を直接に治癒する制度」ではありません。

POINT 3

  • ISMS認証取得と社内体制構築で押さえる用語の定義
  • ISMS、認証、規格、情報資産、三要素、リスク対応、適用範囲を確認します。
  • 2.1 ISMS
  • 2.2 ISMS認証
  • 2.3 ISO/IEC 27001、JIS Q 27001、ISO/IEC 27002

POINT 4

  • ISMS認証取得と社内体制構築が企業法務の問題になる理由
  • 取締役責任、個人情報保護、契約、労務、会計・内部監査との関係を整理します。
  • 3.1 取締役・経営者の責任と内部統制
  • 3.2 個人情報保護法との関係
  • 3.3 契約法務との関係

POINT 5

  • ISMS認証取得と社内体制構築の全体像
  • 目的設定から認証登録後の継続的改善まで、取得プロジェクトの順序を確認します。
  • ISMS認証取得と社内体制構築は、一般に次の順序で進めると整理しやすい。

POINT 6

  • ISMS認証取得と社内体制構築のステップ別実務
  • 目的、範囲、現状調査、台帳、リスク対応、適用宣言書を具体化します。
  • 5.1 経営目的を明確にする
  • 5.2 適用範囲を設計する
  • 5.3 現状調査を行う

POINT 7

  • ISMS認証取得と社内体制構築の社内体制設計
  • 経営層、CISO、法務、人事、総務、内部監査などの役割を整理します。
  • 6.1 経営層
  • 6.2 CISO・情報セキュリティ責任者
  • 6.3 法務部門

POINT 8

  • ISMS認証取得と社内体制構築のRACI責任分担
  • 実行責任、最終責任、協議先、報告先を一覧で確認します。
  • ISMS認証取得と社内体制構築では、責任分担を曖昧にしないことが重要です。
  • 以下は一例です。
  • 確認漏れを防ぐために重要です。

まとめ

  • ISMS認証取得と 社内体制構築の実務
  • ISMS認証取得と社内体制構築の位置づけ:認証文書上の表記、移行、審査運用については、必ず契約予定または契約中の認証機関にも確認する必要があります。
  • ISMS認証取得と社内体制構築の要旨:IT部門の認証作業ではなく、企業統治の設計として全体像を押さえます。
  • ISMS認証取得と社内体制構築で押さえる用語の定義:ISMS、認証、規格、情報資産、三要素、リスク対応、適用範囲を確認します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Section 01

ISMS認証取得と社内体制構築の要旨

IT部門の認証作業ではなく、企業統治の設計として全体像を押さえます。

次の重要ポイントは、ISMS認証取得と社内体制構築が何を実現する仕組みなのかを表しています。読者にとって重要なのは、認証ロゴの取得だけでなく、リスクを経営管理の言葉に置き換え、証跡として残し、改善し続けることを読み取る点です。

情報リスクを経営管理の言葉に置き換える仕組みです

ISMSの本質は、情報資産を特定し、リスクを評価し、経営として受容可能な水準を決め、管理策を実装し、証跡を残し、監査とレビューで改善することにあります。

ISMS認証取得と社内体制構築を検討するとき、最初に修正すべき誤解は、「ISMSは情報システム部門がチェックリストを埋めれば取得できる認証です」という見方です。ISMS、すなわち情報セキュリティマネジメントシステムは、情報の機密性、完全性、可用性を守るための組織的な仕組みで、技術対策だけでなく、経営判断、規程、契約、教育、委託先管理、内部監査、インシデント対応、継続的改善を含みます。

ISOは、ISO/IEC 27001を情報セキュリティマネジメントシステムの要求事項を定める国際規格として説明し、あらゆる規模・業種の組織が、情報セキュリティマネジメントシステムを確立し、実施し、維持し、継続的に改善するための枠組みとして説明しています。 また、JIPDECは、ISMS認証を、ISO/IEC 27001(JIS Q 27001)の要求事項に基づき、第三者である認証機関が組織の対応状況を審査し、適合を証明するものと説明しています。

企業法務の観点からは、ISMSは「法令違反を直接に治癒する制度」ではありません。しかし、個人情報保護法上の安全管理措置、委託先監督、漏えい等発生時の報告・本人通知、取引先との情報管理条項、クラウド利用時の責任分界、役職員の秘密保持義務、内部統制システム、取締役会・監査役等の監督、サプライチェーンリスクの説明責任に深く関係します。したがって、ISMS認証取得と社内体制構築は、単なる取得プロジェクトではなく、企業の情報リスクを経営管理の言語に翻訳し、証拠化し、継続運用するための法務・統制プロジェクトとして設計する必要があります。

Section 02

ISMS認証取得と社内体制構築で押さえる用語の定義

ISMS、認証、規格、情報資産、三要素、リスク対応、適用範囲を確認します。

2.1 ISMS

ISMSとは、Information Security Management System、すなわち情報セキュリティマネジメントシステムです。情報資産に対するリスクを把握し、必要な管理策を選定し、運用し、監視し、改善するための組織的な仕組みを指します。ISMS-ACは、ISMSについて、個別の技術対策だけでなく、組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決め、計画を持ち、資源を配分し、システムを運用するものと説明しています。

2.2 ISMS認証

ISMS認証とは、認証機関が、対象組織のISMSがISO/IEC 27001またはJIS Q 27001の要求事項に適合しているかを審査し、適合している場合に認証文書を発行する第三者認証です。これは「絶対に情報漏えいが起きない」という保証ではありません。また、特定のシステム、製品、クラウドサービスそのものの完全性を保証するものでもありません。認証の本質は、組織が情報セキュリティリスクを識別し、管理し、改善するための仕組みを構築・運用していることについて、第三者の審査を受ける点にあります。

2.3 ISO/IEC 27001、JIS Q 27001、ISO/IEC 27002

ISO/IEC 27001は、ISMSの要求事項を定める国際規格です。ISOは、正式な略称はISO/IEC 27001です。単にISO 27001と略記されることがありますが、正式にはISOとIECが共同で発行する規格として説明されています。

JIS Q 27001は、日本産業規格としての対応規格です。日本国内の認証実務では、契約書、審査申請書、認証文書の記載において、ISO/IEC 27001とJIS Q 27001のどちらで表記するか、また2025年追補後の表記をどう扱うかが問題になり得るため、認証機関への確認が必要です。

ISO/IEC 27002は、情報セキュリティ管理策の実践的な指針を示す規格です。ISO/IEC 27001が要求事項を定めるのに対し、ISO/IEC 27002は管理策のベストプラクティスや実装上の考え方を提供するものと理解すると分かりやすいです。

2.4 情報資産

情報資産とは、組織に価値をもたらす情報および情報を取り扱う手段を指します。顧客情報、従業員情報、取引先情報、契約書、設計図、ソースコード、営業秘密、財務情報、研究開発データ、認証情報、ログ、端末、サーバ、クラウド環境、紙文書、バックアップ媒体、外部委託先が保持するデータなどが含まれます。

情報資産を「個人情報だけ」と捉えると、ISMSの設計は必ず失敗します。個人情報は重要な情報資産ですが、知的財産、営業秘密、契約上の秘密情報、業務継続に必要なログや設定情報、財務報告に影響するデータも、同等またはそれ以上に重要な情報資産となり得ます。

2.5 機密性・完全性・可用性

情報セキュリティの代表的な三要素は、機密性、完全性、可用性です。ISOは、ISO/IEC 27001における情報セキュリティの三原則として、適切な者だけが情報にアクセスできる機密性、情報が破壊・改ざんされず信頼できる状態で保たれる完全性、必要なときにアクセスできる可用性を説明しています。

法務的には、機密性は秘密保持義務、個人情報保護、営業秘密管理と結びつきます。完全性は、証拠性、監査証跡、財務報告、品質管理、電子契約の真正性と関係します。可用性は、サービス提供義務、SLA、業務継続、損害賠償、行政・金融・医療などの規制業種における継続的提供義務と関係します。

2.6 リスクアセスメントとリスク対応

リスクアセスメントとは、情報資産に対する脅威、脆弱性、影響度、発生可能性などを評価し、優先順位を定める作業です。リスク対応とは、リスクを低減する、回避する、移転する、または受容するという意思決定です。

ここで重要なのは、リスクを「ゼロにする」ことが目的ではない点です。実務上の目的は、経営資源、事業上の重要性、法的義務、契約上の約束、ステークホルダーへの説明責任を踏まえ、許容可能な水準までリスクを管理することです。

2.7 適用範囲

適用範囲とは、ISMS認証の対象となる組織、業務、拠点、システム、情報資産、プロセス、外部委託範囲を定めるものです。適用範囲は認証の核心です。広すぎれば初回構築が重くなり、狭すぎれば取引先から「実質的なリスクを覆っていない」と評価されます。法務・営業・経営の観点からは、認証取得の目的、顧客要求、入札要件、委託先審査、グループ会社との関係、海外拠点とのデータ移転、クラウド利用範囲を踏まえて設定する必要があります。

Section 04

ISMS認証取得と社内体制構築の全体像

目的設定から認証登録後の継続的改善まで、取得プロジェクトの順序を確認します。

ISMS認証取得と社内体制構築は、一般に次の順序で進めると整理しやすい。

  1. 経営目的の明確化
  2. 適用範囲の決定
  3. 現状調査
  4. 情報資産の棚卸し
  5. リスクアセスメント手法の決定
  6. リスクアセスメントの実施
  7. リスク対応方針・管理策の決定
  8. 適用宣言書の作成
  9. 規程・手順・記録様式の整備
  10. 教育・周知
  11. 運用開始
  12. 内部監査
  13. マネジメントレビュー
  14. 是正処置
  15. 認証機関の選定・申請
  16. 第一段階審査
  17. 第二段階審査
  18. 不適合対応
  19. 認証登録
  20. 年次のサーベイランス審査
  21. 3年ごとの再認証審査
  22. 継続的改善

JIPDECは、認証取得を希望する組織は、ISMS-ACが認定した認証機関の中から申請先を選択し、審査は原則として第一段階と第二段階の2段階で行われ、通常1年ごとにサーベイランス審査、3年ごとに再認証審査が行われると説明しています。

Section 05

ISMS認証取得と社内体制構築のステップ別実務

目的、範囲、現状調査、台帳、リスク対応、適用宣言書を具体化します。

5.1 経営目的を明確にする

最初に決めるべきことは、「なぜISMS認証を取得するのか」です。目的が曖昧なまま始めると、文書作成のための文書作成になり、運用が形骸化します。

典型的な目的は次のとおりです。

次の比較表は、ISMS認証取得と社内体制構築のステップ別実務に関する項目を整理したものです。確認漏れを防ぐために重要です。各行から、実務で確認すべき内容と担当領域を読み取ってください。

目的法務・経営上の意味
取引先要求への対応入札、委託先審査、継続取引条件への対応
顧客信頼の向上セキュリティ質問票への回答負担の軽減、説明可能性の向上
個人情報・秘密情報の管理強化法令・契約違反リスクの低減
内部統制の整備取締役会、監査役、内部監査への説明可能性
グループ統制子会社・海外拠点・委託先の管理水準の統一
インシデント対応力の向上初動遅れ、証拠散逸、報告漏れの防止
セキュリティ投資の合理化リスクに応じた優先順位付け

目的が「顧客に言われたから」だけであっても、それ自体は悪くありません。しかし、認証取得後に運用が停止すれば、サーベイランス審査で不適合を受けるだけでなく、取引先への説明と実態の不一致という法務リスクが生じます。

5.2 適用範囲を設計する

適用範囲の設計では、次の問いに答える必要があります。

  • どの法人、部門、拠点を対象にするか
  • どのサービス、業務、プロセスを対象にするか
  • 顧客データを処理するシステムは含まれるか
  • 開発環境、検証環境、本番環境をどう扱うか
  • クラウド、データセンター、外部委託先はどのように管理するか
  • 営業、法務、人事、経理、総務などのバックオフィスを含めるか
  • 紙文書、電子契約、チャット、メール、ファイル共有を含めるか
  • グループ会社との情報共有をどう扱うか
  • 認証範囲外の業務との境界をどう説明するか

適用範囲を狭く設定する場合でも、範囲外の部門や外部委託先が範囲内業務に重要な影響を及ぼすなら、インターフェース管理は不可欠です。たとえば、SaaS事業部だけを対象範囲にしても、人事部がアカウント発行を行い、総務部が入退室管理を行い、法務部が顧客契約を管理し、経理部が請求データを扱うなら、これらのプロセスを完全に無視することはできません。

5.3 現状調査を行う

現状調査は、文書と実態を分けて確認します。

文書面では、既存の情報セキュリティ基本方針、個人情報保護方針、秘密情報管理規程、就業規則、委託先管理規程、インシデント対応規程、システム管理規程、アクセス権限規程、ログ管理規程、クラウド利用規程、文書管理規程、内部監査規程、BCPなどを確認します。

実態面では、現場ヒアリング、システム棚卸し、アカウント一覧、アクセス権限、クラウド設定、端末管理、バックアップ、ログ、委託先一覧、契約書、教育履歴、過去インシデント、問い合わせ対応履歴、脆弱性対応履歴、例外承認を確認します。

この段階で重要なのは、現場を責めることではありません。ISMS構築における現状調査は、責任追及ではなく、リスクの可視化です。現場が実態を隠すと、後の審査で不整合が露呈します。

5.4 情報資産を棚卸しする

情報資産台帳は、ISMSの基礎です。台帳には、少なくとも次の観点を持たせると整理しやすいです。

次の比較表は、ISMS認証取得と社内体制構築のステップ別実務に関する項目を整理したものです。確認漏れを防ぐために重要です。各行から、実務で確認すべき内容と担当領域を読み取ってください。

項目
資産名顧客DB、契約書フォルダ、ソースコード、給与データ
資産区分電子データ、紙文書、システム、端末、媒体、クラウド
保有部門営業、開発、人事、法務、経理
管理責任者部門長、プロダクトオーナー、情報資産管理者
利用者正社員、委託先、派遣社員、外部開発会社
保管場所クラウド、社内サーバ、端末、書庫
機密性公開、社内限り、秘密、極秘
完全性改ざん時の業務影響
可用性停止時の許容時間
法令・契約個人情報、要配慮個人情報、営業秘密、契約上の秘密情報
保存期間法令、契約、業務上の必要性
廃棄方法削除、破砕、消去証明、媒体破壊

情報資産台帳は一度作って終わりではありません。新サービス開始、クラウド追加、委託先変更、組織改編、M&A、海外展開、生成AIツール導入などのたびに更新されるべきものです。

5.5 リスクアセスメントを実施する

リスクアセスメントの方法は、組織に合っていなければなりません。大企業では定量的評価、詳細なシナリオ分析、業務影響度分析を組み合わせることがあります。中小企業では、資産価値、脅威、脆弱性、影響度、発生可能性を簡潔に評価する方法でも対応できます。

重要なのは、評価基準を事前に定義し、同じ基準で評価することです。たとえば、影響度を「軽微・中・大・重大」とする場合、それぞれについて、売上影響、顧客影響、法令報告、サービス停止時間、信用毀損、損害賠償見込みなどの目安を決めます。

法務部門は、次の観点をリスク評価に入れるべきです。

  • 個人情報保護法上の報告対象になり得るか
  • 委託契約上の通知義務が発生するか
  • 秘密保持契約違反になるか
  • 営業秘密としての管理性が失われるか
  • 知的財産権侵害やライセンス違反につながるか
  • 金融商品取引法、業法、業界ガイドライン上の開示・報告義務があるか
  • 海外法令、越境移転、域外適用の問題があるか
  • 取締役会、監査役、親会社、主要株主への報告が必要か

5.6 リスク対応と管理策を決める

リスク対応には、一般に次の選択肢があります。

次の比較表は、ISMS認証取得と社内体制構築のステップ別実務に関する項目を整理したものです。確認漏れを防ぐために重要です。各行から、実務で確認すべき内容と担当領域を読み取ってください。

対応内容
低減管理策により発生可能性または影響を下げる多要素認証、暗号化、教育、監視
回避リスクを伴う業務をやめる高リスクな外部共有を廃止
移転契約・保険などにより一部を移すサイバー保険、委託先補償条項
受容残存リスクを承認する経営判断として許容

リスクを受容する場合、単に「費用がかかるからやらない」では不十分です。リスク所有者が、残存リスク、理由、監視方法、見直し時期を明示し、必要に応じて経営層が承認する必要があります。

5.7 適用宣言書を作成する

適用宣言書、Statement of Applicability、SoAは、ISMSにおける中心文書です。SoAは、附属書Aの管理策について、適用するか否か、その理由、実装状況、関連文書を整理します。SoAは審査対策の一覧表ではなく、組織がリスクに対してどの管理策を採用し、なぜそれでよいと判断したかを説明する文書です。

SoAでよくある失敗は次のとおりです。

  • すべて「適用」としていますが実装が伴っていません
  • 「該当なし」の理由が抽象的です
  • リスクアセスメント結果と管理策の選定がつながっていません
  • 規程はありますが運用証跡がない
  • クラウド、委託先、リモートワーク、生成AI利用などの実態が反映されていません
  • 法務・契約・個人情報の論点がSoAに反映されていません
Section 06

ISMS認証取得と社内体制構築の社内体制設計

経営層、CISO、法務、人事、総務、内部監査などの役割を整理します。

6.1 経営層

経営層は、情報セキュリティ方針の承認、目的の設定、資源配分、責任権限の明確化、リスク受容、マネジメントレビューを担います。ISMSにおける経営層の役割は形式的な署名ではありません。経営者が「事業上どの情報を守るべきか」「どこまでリスクを許容するか」「どの投資を優先するか」を判断しなければ、ISMSは運用できません。

6.2 CISO・情報セキュリティ責任者

CISOまたは情報セキュリティ責任者は、ISMSの実務統括を担います。ただし、CISOがすべてを自分で実施する必要はありません。むしろ、法務、人事、総務、IT、開発、営業、内部監査、委託先管理を横断する調整機能が重要です。

CISOに必要な権限は、少なくとも次のとおりです。

  • 情報セキュリティ方針・規程案の策定権限
  • リスクアセスメントの実施権限
  • 各部門に証跡提出を求める権限
  • 重大インシデント時の初動統制権限
  • 委託先・クラウド選定への関与権限
  • 経営層への直接報告ルート
  • 例外承認の審査権限

6.3 法務部門

法務部門は、ISMSの「契約・法令・証拠」側面を担います。具体的には、秘密保持契約、業務委託契約、クラウド契約、個人情報取扱いに関する契約、インシデント通知条項、監査条項、損害賠償、責任制限、再委託、越境移転、保存・廃棄義務、証拠保全、当局対応、顧客対応文書を管理します。

法務がISMSに関与しない場合、規程上は安全でも、契約上の義務に違反しているという矛盾が生じます。たとえば、顧客契約では24時間以内の通知義務があるのに、インシデント対応規程では「必要に応じて報告」としか書かれていない場合、実務上の初動は破綻します。

6.4 個人情報保護・プライバシー担当

個人情報保護担当は、個人情報の取扱い、利用目的、第三者提供、委託、共同利用、越境移転、保有個人データ対応、漏えい等報告、本人通知、プライバシーポリシー、個人情報台帳、個人情報取扱い教育を担当します。

ISMSとPマークを併用する企業では、文書体系の重複に注意します。二つの制度で似た規程を別々に作ると、内容不一致や更新漏れが起きます。個人情報安全管理措置とISMS管理策を対応付け、同じ証跡を使えるようにすることが有効です。

6.5 情報システム・開発部門

情報システム・開発部門は、技術的管理策を中心に担います。アクセス制御、認証、ネットワーク、端末管理、脆弱性管理、パッチ適用、ログ監視、バックアップ、暗号化、開発環境、変更管理、リリース管理、クラウド設定、セキュアコーディング、監視運用、インシデント検知が主な領域です。

ただし、技術部門が法務・経営判断を代替してはいけません。たとえば、ログ保存期間、監視対象、従業員端末の調査、顧客への通知、サービス停止判断、委託先への調査要求には、法務・経営の関与が必要となります。

6.6 人事・労務部門

人事・労務部門は、入社・異動・退職、教育、誓約書、就業規則、懲戒、リモートワーク、端末貸与、労働時間管理、従業員モニタリング、内部通報を担います。情報セキュリティ教育は、単なる年1回のeラーニングでは不十分です。高権限者、開発者、営業、コールセンター、人事、経理、委託先管理者など、リスクに応じた教育設計が必要です。

6.7 総務・施設管理部門

総務部門は、入退室管理、来訪者管理、書庫、施錠、廃棄、郵送、複合機、会議室、セキュリティカード、監視カメラ、災害対策を担います。ISMSでは、サイバーだけでなく物理的安全管理も対象となります。紙文書の放置、共有スペースでの会話、廃棄物からの情報漏えい、紛失端末などは、法務上も重大な問題となり得ます。

6.8 内部監査部門

内部監査部門は、ISMSが規程どおり運用され、有効に機能しているかを独立の立場で確認します。内部監査は、認証審査前の予行演習ではありません。経営者に対して、リスク管理体制が実際に機能しているかを報告するガバナンス機能です。

内部監査で確認すべき事項は、文書の有無だけではありません。アクセス権限が定期的に見直されているか、退職者アカウントが削除されているか、委託先評価が形骸化していないか、教育未受講者が放置されていないか、例外承認が期限切れになっていないか、インシデント訓練の改善事項が実施されているかを確認します。

Section 07

ISMS認証取得と社内体制構築のRACI責任分担

実行責任、最終責任、協議先、報告先を一覧で確認します。

ISMS認証取得と社内体制構築では、責任分担を曖昧にしないことが重要です。以下は一例です。

次の比較表は、ISMS認証取得と社内体制構築のRACI責任分担に関する項目を整理したものです。確認漏れを防ぐために重要です。各行から、実務で確認すべき内容と担当領域を読み取ってください。

領域経営層CISO/ISMS事務局法務IT/開発人事総務内部監査
適用範囲ARCCCCI
リスク基準ARCCCCI
情報資産台帳IACRRRI
契約条項ICR/ACCII
個人情報対応ACCCCII
アクセス管理IACRCII
教育ACCCRII
物理管理ICICCRI
インシデント初動ARRRCCI
内部監査ICIIIIR/A
マネジメントレビューR/ARCCCCC

Rは実行責任、Aは最終責任、Cは協議先、Iは報告先を意味します。実際の組織では、規模や部門構成に応じて調整します。

Section 08

ISMS認証取得と社内体制構築の規程・記録・証跡設計

規程、手順、記録、証跡を審査と法務の両面から設計します。

8.1 文書体系の考え方

ISMSでは「規程を作ること」自体が目的ではありません。規程、手順、記録、証跡が連動して初めて有効に機能します。

文書体系は、一般に次のように階層化すると管理しやすい。

次の比較表は、ISMS認証取得と社内体制構築の規程・記録・証跡設計に関する項目を整理したものです。確認漏れを防ぐために重要です。各行から、実務で確認すべき内容と担当領域を読み取ってください。

階層文書例役割
方針情報セキュリティ基本方針経営者の意思、目的、基本原則
規程情報資産管理規程、アクセス管理規程、委託先管理規程組織全体のルール
手順アカウント発行手順、インシデント対応手順、バックアップ手順実務担当者の作業基準
様式リスク評価表、委託先評価表、教育記録、例外申請記録の標準化
記録監査記録、レビュー議事録、ログ、承認履歴実施した証拠

8.2 審査で確認されやすい文書・記録

認証審査では、組織の規模や適用範囲に応じて異なるが、次のような文書・記録が確認されやすい。

  • ISMS適用範囲
  • 情報セキュリティ方針
  • リスクアセスメント手順
  • リスクアセスメント結果
  • リスク対応計画
  • 適用宣言書
  • 情報セキュリティ目的
  • 情報資産台帳
  • 法令・契約上の要求事項一覧
  • 教育計画・教育記録
  • 役割・責任・権限の定義
  • 委託先評価記録
  • アクセス権限の申請・承認・棚卸記録
  • バックアップ記録
  • 脆弱性・パッチ管理記録
  • インシデント記録
  • 内部監査計画・報告書
  • マネジメントレビュー議事録
  • 不適合・是正処置記録
  • 例外承認記録

重要なのは、文書が「実態に合っていること」です。審査対策として過度に高度な規程を作り、現場が守れない状態になることは避けるべきです。守れない規程は、審査上も法務上も不利な証拠になります。

8.3 証跡の保存と法務

証跡は、審査のためだけでなく、事故時の法的防御にも必要です。アクセスログ、変更履歴、承認履歴、教育履歴、委託先評価、リスク受容、インシデント対応、顧客通知、当局報告、復旧作業、原因分析、再発防止策の記録は、紛争時の重要証拠となります。

ただし、証跡を残せばよいというものではありません。保存期間、アクセス権限、改ざん防止、プライバシー、労務上のモニタリングルール、電子データの証拠性を考慮する必要があります。

Section 09

ISMS認証取得と社内体制構築を契約条項に接続する

顧客契約、委託先管理、クラウド責任分界をISMSに接続します。

9.1 顧客契約に入れるべき観点

ISMS認証取得企業であっても、顧客契約の情報セキュリティ条項が不十分なら、事故時の責任範囲が曖昧になります。次の観点を契約に反映することが有効です。

次の比較表は、ISMS認証取得と社内体制構築を契約条項に接続するに関する項目を整理したものです。確認漏れを防ぐために重要です。各行から、実務で確認すべき内容と担当領域を読み取ってください。

論点契約上の検討事項
秘密情報定義、除外情報、管理方法、利用目的
個人情報委託か第三者提供か、再委託、越境移転
セキュリティ基準ISMS、社内規程、顧客基準、個別仕様
インシデント通知通知期限、通知内容、暫定報告、最終報告
監査書面監査、現地監査、第三者報告書、頻度
再委託事前承諾、通知、再委託先管理、責任
クラウド利用可否、地域、サブプロセッサ、責任分界
データ返還・消去契約終了時、バックアップ、消去証明
損害賠償直接損害、間接損害、上限、例外
法令報告当局報告、本人通知、顧客承認
変更管理重要な管理策変更、拠点変更、委託先変更

9.2 ベンダー契約・委託先管理

ISMSは自社内だけでは完結しません。クラウド、SaaS、データセンター、開発会社、保守会社、コールセンター、配送、廃棄業者、給与計算、採用管理、電子契約、会計システムなど、多数の外部委託先が情報資産に関与します。

委託先管理では、次のサイクルが必要です。

  1. 委託前評価
  2. 契約締結
  3. 再委託の把握
  4. 運用中の監視
  5. 変更時の再評価
  6. インシデント時の連携
  7. 契約終了時の返還・削除確認
  8. 年次評価

委託先評価は、質問票を送るだけでは足りません。重要委託先については、認証取得状況、SOCレポート、脆弱性対応、障害履歴、サポート体制、バックアップ、サブプロセッサ、データ保管国、契約上の監査権、インシデント通知期限を確認する必要があります。

9.3 クラウド契約の責任分界

クラウドを利用する場合、「クラウド事業者が安全だから自社は安全」とは言えません。クラウドには責任共有モデルがあります。クラウド事業者がデータセンターや基盤を管理していても、アカウント設定、権限、暗号鍵、ログ取得、公開範囲、バックアップ、アプリケーション脆弱性は利用者側の責任となることが多いです。

法務部門は、クラウド契約の標準約款、データ処理条件、SLA、サポート条件、責任制限、準拠法、データ所在地、サブプロセッサ、監査資料、削除手続を確認する必要があります。

Section 10

ISMS認証取得と社内体制構築の個人情報・プライバシー体制との統合

個人情報台帳、漏えい等対応、プライバシーマークとの違いを確認します。

10.1 個人情報台帳と情報資産台帳を連携する

個人情報保護法対応では、個人情報の種類、取得元、利用目的、保管場所、委託先、第三者提供、保存期間、アクセス権限を管理する必要があります。ISMSの情報資産台帳と個人情報台帳を別々に作ると、更新漏れや不整合が起きやすい。両者は一体または相互参照できる形にする必要があります。

10.2 漏えい等対応手順を明確にする

個人情報保護委員会への報告・本人通知が必要な事態では、初動が重要です。PPCは、該当する漏えい等が発生した場合、速やか、概ね3〜5日以内に報告を行うこと、本人への通知では概要、個人データの項目、原因などを本人に分かりやすい方法で行うことを説明しています。

ISMS上のインシデント対応規程には、少なくとも次を含めるべきです。

  • 発見者の報告先
  • 緊急連絡網
  • 個人情報該当性の判断
  • 報告対象事態の判定
  • 法務・個人情報保護担当・CISOの招集条件
  • 初動封じ込め
  • 証拠保全
  • 顧客契約上の通知期限確認
  • PPC報告
  • 本人通知
  • 広報・問い合わせ対応
  • 再発防止
  • 記録保存

10.3 ISMSとプライバシーマークの違い

ISMSは情報セキュリティマネジメントシステムの認証で、プライバシーマークは個人情報保護マネジメントシステムに関する制度です。どちらが優れているという問題ではなく、目的が異なります。個人情報を中心に社会的信頼を示したい場合はプライバシーマーク、情報資産全般のリスク管理を示したい場合はISMSが有力です。両方を取得する企業もありますが、文書体系・教育・監査・委託先管理・事故対応を統合しなければ、運用負荷が過大になります。

Section 11

ISMS認証取得と社内体制構築のインシデント対応と危機管理

事前準備、証拠保全、法務判断、事後改善までを危機管理として整理します。

11.1 インシデント対応は「発生後」では遅い

サイバーインシデント対応は、発生してから考えるものではありません。事前に、連絡網、判断権限、外部専門家、フォレンジック会社、外部弁護士、広報、顧客対応、当局報告、保険会社、クラウド事業者、委託先との連携を決めておく必要があります。

典型的な対応チームは次のとおりです。

次の比較表は、ISMS認証取得と社内体制構築のインシデント対応と危機管理に関する項目を整理したものです。確認漏れを防ぐために重要です。各行から、実務で確認すべき内容と担当領域を読み取ってください。

役割主な担当
インシデント責任者CISO、担当役員
技術対応情報システム、SOC、CSIRT、外部フォレンジック
法務対応企業内弁護士、外部弁護士、法務部
個人情報対応DPO相当者、個人情報保護担当
顧客対応営業、カスタマーサクセス
広報対応広報、IR
労務対応人事、社労士、弁護士
経営判断代表取締役、取締役会、危機対策本部
監査対応内部監査、監査役、公認会計士

11.2 証拠保全

事故時には、善意の復旧作業が証拠を消してしまうことがあります。ログ、端末、サーバイメージ、メール、チャット、アクセス履歴、クラウド監査ログ、設定変更履歴、EDRアラート、VPNログ、IDプロバイダログを保全する手順が必要です。デジタルフォレンジック専門家を早期に関与させる必要となる場面もあります。

11.3 法務判断

法務部門は、次を判断します。

  • 個人情報保護法上の報告対象か
  • 顧客契約上の通知義務があるか
  • 業法上の報告が必要か
  • 適時開示・任意開示が必要か
  • 警察・監督官庁への相談が必要か
  • 役員会・監査役会への報告が必要か
  • 被害者・顧客への補償方針
  • 外部公表文の内容
  • 委託先・再委託先への請求
  • 保険通知
  • 証拠保全と社内調査の範囲

日本法では、米国型の広範な attorney-client privilege がそのまま認められるわけではないため、外部弁護士に依頼した調査であっても、記録の作成・保管・共有範囲には慎重な設計が必要です。

11.4 事後改善

インシデント後の改善は、ISMSの有効性を示す重要な証跡となります。原因分析、再発防止策、教育、技術対策、契約見直し、委託先評価、リスクアセスメント再実施、マネジメントレビューへの報告を行います。事故を隠す文化ではISMSは機能しません。事故を学習に変える仕組みが必要です。

Section 12

ISMS認証取得と社内体制構築の内部監査とマネジメントレビュー

内部監査とマネジメントレビューを、継続改善の仕組みとして運用します。

12.1 内部監査の目的

内部監査は、認証審査のためのリハーサルではなく、組織のISMSが要求事項、自社規程、法令・契約要求事項に適合し、有効に機能しているかを確認する活動です。

内部監査では、次の3層を見るべきです。

  1. 適合性 ― 規格要求事項、社内規程、契約、法令に合っているか
  2. 有効性 ― リスクを実際に低減しているか
  3. 持続性 ― 担当者依存ではなく、組織として継続できるか

12.2 内部監査の質問例

内部監査では、次のような質問が有効です。

  • 適用範囲に含まれる業務と除外される業務の境界を説明できるか
  • 新しい情報資産が台帳に登録される手順は機能しているか
  • リスク評価結果と管理策が対応しているか
  • リスク受容は誰が、どの基準で承認したか
  • 退職者アカウントはいつ削除されるか
  • 特権IDの棚卸しは実施されているか
  • 委託先の再評価はいつ行われたか
  • 教育未受講者へのフォローはあるか
  • インシデント訓練の結果は改善に反映されたか
  • 顧客契約上の通知期限を把握しているか
  • ログは必要な期間保存され、改ざん防止されているか
  • クラウド設定変更は承認・記録されているか
  • 例外承認は期限付きか
  • 規程改定時に現場へ周知されているか

12.3 マネジメントレビュー

マネジメントレビューは、経営層がISMSの適切性、妥当性、有効性を確認し、改善方針を決める場です。単なる報告会ではありません。

レビューでは、少なくとも次の情報を扱うべきです。

  • 前回レビューのフォロー状況
  • 内外の課題変化
  • 利害関係者の要求変化
  • リスクアセスメント結果
  • 情報セキュリティ目的の達成状況
  • 内部監査結果
  • 認証審査結果
  • インシデント・ヒヤリハット
  • 委託先評価
  • 教育状況
  • 法令・契約要求の変化
  • 資源の十分性
  • 改善機会

出力として、方針変更、目的変更、資源配分、リスク対応、組織体制変更、規程改定、教育強化、技術投資、委託先見直しなどの決定を記録します。

Section 13

ISMS認証取得と社内体制構築の認証機関の選定と審査対応

認証機関の選定、第一段階審査、第二段階審査、不適合対応を確認します。

13.1 認証機関の選定

JIPDECは、ISMS等の認証取得の申請先は認定された認証機関です。ISMS-ACは認証機関を認定する機関であって組織に対するISMS認証登録は行わない旨を説明しています。 したがって、企業は認証機関を選定し、見積、審査日程、審査範囲、審査員の専門性、費用、審査方針を確認します。

選定時の確認事項は次のとおりです。

  • ISMS-AC認定の有無
  • 自社業種の審査実績
  • クラウド、SaaS、金融、医療、製造、海外拠点などの専門性
  • 審査工数と費用
  • 審査日程の柔軟性
  • 事前説明の明確性
  • 認証文書の表記
  • グループ・複数サイト対応
  • 他規格との統合審査の可否
  • サーベイランス・再認証の費用

13.2 第一段階審査

第一段階審査では、主に文書、適用範囲、リスクアセスメント、SoA、内部監査、マネジメントレビュー、審査準備状況が確認されます。ここで重大な不足があると、第二段階審査に進めない場合や、是正が必要となる場合があります。

13.3 第二段階審査

第二段階審査では、実際の運用が確認されます。審査員は、経営層、ISMS事務局、現場部門、IT、法務、人事、総務、内部監査などにインタビューし、記録と実態の整合を確認します。

第二段階審査でよく問題になるのは、次のような点です。

  • 規程はありますが現場が知りません
  • 台帳が更新されていない
  • アクセス権限の証跡がない
  • リスク評価が形式的
  • SoAの理由が説明できない
  • 内部監査が浅い
  • マネジメントレビューが単なる承認印になっている
  • 委託先管理が質問票だけで終わっています
  • 教育記録はありますが理解度確認がない
  • インシデント対応訓練がない
  • クラウド設定の責任者が不明
  • 法令・契約要求事項が一覧化されていない

13.4 不適合への対応

不適合を受けた場合、原因分析、是正処置、再発防止、効果確認を行います。不適合を「審査員に指摘されたから直す」と捉えるのではなく、組織の管理上の弱点が見つかったと捉えるべきです。

Section 14

ISMS認証取得と社内体制構築の中小企業における現実的な進め方

中小企業が90日、180日、365日で進める現実的な順序を整理します。

中小企業では、専任CISOや法務部、内部監査部門が存在しないことも多いです。しかし、ISMS認証取得と社内体制構築は、組織規模に応じて設計できます。ISOも、ISO/IEC 27001はあらゆる規模・業種の組織に適用できると説明しています。

IPAは中小企業向けに「中小企業の情報セキュリティ対策ガイドライン」を公開しており、第4.0版では、経営者が認識し実施すべき指針と、社内で対策を実践する手順・手法をまとめている旨を説明しています。また、同ガイドラインは個人事業主・小規模事業者を含む中小企業等の利用を想定しています。

中小企業では、次の順序が現実的です。

14.1 90日で行うこと

  • 経営者が目的を決める
  • 適用範囲の案を作る
  • 主要情報資産を棚卸しする
  • 既存規程を確認する
  • 重要クラウド・委託先を一覧化する
  • アクセス権限を棚卸しする
  • 秘密保持・個人情報・委託契約を確認する
  • インシデント連絡網を作る
  • 従業員教育を実施する

14.2 180日で行うこと

  • リスクアセスメントを実施する
  • リスク対応計画を作る
  • SoAを作成する
  • 規程・手順を整備する
  • 委託先評価を実施する
  • バックアップ・ログ・脆弱性管理を整える
  • 内部監査員を選任する
  • 内部監査を実施する
  • マネジメントレビューを行う

14.3 365日で行うこと

  • 第一段階・第二段階審査を受ける
  • 不適合対応を完了する
  • 年間教育計画を回す
  • 委託先再評価を回す
  • インシデント訓練を実施する
  • サーベイランス審査に向けて運用記録を蓄積する
  • 契約テンプレートを見直す
  • 経営会議でセキュリティKPIを確認する

中小企業で最も避けるべきなのは、大企業向けの重厚な規程をそのまま導入することです。規程は少なくてもよいが、守れること、証跡が残ること、経営者が説明できることが重要です。

Section 15

ISMS認証取得と社内体制構築の専門職ごとの関与ポイント

弁護士、法務、監査、人事労務、知財、会計、フォレンジックの関与点を確認します。

15.1 弁護士・企業内弁護士・外部弁護士

  • 個人情報保護法、会社法、契約、業法、海外法令の整理
  • インシデント対応手順の法務確認
  • 顧客契約・委託契約・NDAの改定
  • 監査権、再委託、通知期限、責任制限の設計
  • 取締役会・監査役会への報告文案
  • 当局・顧客・本人通知の文案
  • 事故調査、証拠保全、紛争対応

15.2 法務担当・コンプライアンス担当

  • 法令・契約要求事項一覧の作成
  • 規程体系の整備
  • 社内相談対応
  • 顧客セキュリティ質問票への回答統制
  • 契約審査基準へのセキュリティ条項追加
  • 例外承認手順管理

15.3 公認会計士・内部監査担当

  • 内部統制との接続
  • IT全般統制との整合
  • 内部監査計画
  • 監査証跡の評価
  • 経営者への改善提言
  • J-SOXや財務報告リスクとの関係整理

15.4 社会保険労務士・人事労務担当

  • 就業規則、懲戒規程、秘密保持誓約
  • 入退社時の権限管理
  • リモートワーク規程
  • 従業員教育
  • 従業員モニタリングとプライバシー
  • 内部不正対応

15.5 弁理士・知財法務担当

  • 営業秘密管理
  • ソースコード・設計情報・研究開発情報の管理
  • 共同研究・ライセンス契約
  • 生成AI利用時の入力情報管理
  • 知財流出時の対応

15.6 税理士・経理担当

  • 会計データ、請求データ、支払情報の管理
  • 電子帳簿・証憑保存との整合
  • 税務関連データの委託先管理
  • 不正送金・ビジネスメール詐欺対策

15.7 デジタルフォレンジック専門家

  • 事故時の証拠保全
  • ログ解析
  • 侵害範囲調査
  • 端末・サーバ解析
  • 報告書作成
  • 再発防止策の技術的検証
Section 16

ISMS認証取得と社内体制構築のよくある失敗と回避策

経営者不在、範囲不一致、証跡不足、法務不在、取得後放置を避けます。

16.1 経営者不在

ISMSを担当者任せにすると、リスク受容、資源配分、部門横断の調整が進みません。経営者が最低限、方針、目的、適用範囲、重大リスク、資源、レビューに関与することが必要です。

16.2 適用範囲が実態と合っていない

営業資料では「全社でISMS取得」と表現していますが、実際の認証範囲は一部部門だけという場合、取引先への説明が問題になります。認証範囲の表示は正確に行う必要があります。

16.3 文書過多

規程を増やしすぎると、現場が守れません。規程は、リスクに応じて必要な粒度にします。重要なのは、文書数ではなく運用可能性です。

16.4 証跡不足

「やっています」と言っても、審査では証跡が求められます。教育、権限棚卸し、委託先評価、バックアップ、ログ確認、内部監査、レビューの記録を残します。

16.5 法務不在

契約上の通知期限や委託先義務を把握しないままインシデント対応規程を作ると、事故時に契約違反となります。法務部門は早期に関与する必要があります。

16.6 委託先管理の形骸化

質問票を送って回収するだけでは不十分です。重要委託先は、契約、認証、障害履歴、再委託、監査資料、インシデント通知体制を確認します。

16.7 内部監査の独立性不足

自分で作った規程を自分で監査すると、監査の有効性が弱い。小規模組織でも、可能な限り担当外の者、外部専門家、他部門を活用します。

16.8 取得後の放置

ISMSは取得後が本番です。年次サーベイランス、3年ごとの再認証、組織変更、新サービス、法改正、インシデント、委託先変更に対応し続ける必要があります。

Section 17

ISMS認証取得と社内体制構築の取締役会・経営会議で確認すべき質問

取締役会・経営会議で確認する質問を整理します。

取締役、監査役、社外取締役、CLO、CISO、内部監査責任者は、次の質問を定期的に確認する必要があります。

  1. 当社が守るべき最重要情報資産は何か。
  2. その情報資産の所有者は誰か。
  3. 重大な情報セキュリティリスクは何か。
  4. そのリスクは、誰が、どの水準で受容しているか。
  5. ISMSの適用範囲は、顧客への説明と一致しているか。
  6. 個人情報漏えい時の報告・本人通知手順は機能するか。
  7. 顧客契約上の通知期限を把握しているか。
  8. 委託先・クラウドの重大リスクは何か。
  9. 退職者・委託先担当者のアクセス権は適切に削除されているか。
  10. バックアップから復旧できることを確認しているか。
  11. ランサムウェア時の意思決定者は誰か。
  12. 内部監査で重大な不備は出ていないか。
  13. 教育未受講者は残っていないか。
  14. 例外承認が常態化していないか。
  15. 生成AI、シャドーIT、個人端末利用を把握しているか。
  16. 取締役会に報告すべきインシデント基準はあるか。
  17. サイバー保険と契約責任制限は整合しているか。
  18. 主要取引先の要求水準と自社ISMSは整合しているか。
  19. 認証文書の表記、範囲、営業利用は正確か。
  20. 次年度のセキュリティ投資は、リスク評価に基づいているか。
Section 18

ISMS認証取得と社内体制構築の実務チェックリスト

開始前、構築中、審査前、取得後の実務確認事項を整理します。

18.1 開始前

  • 認証取得の目的を明文化した
  • 経営者がプロジェクトオーナーを承認した
  • 適用範囲案を作成した
  • 認証機関候補を確認した
  • 顧客要求・入札要件を確認した
  • 既存規程を棚卸しした
  • 法令・契約要求事項を洗い出した

18.2 構築中

  • 情報資産台帳を作成した
  • リスク評価基準を定義した
  • リスクアセスメントを実施した
  • リスク対応計画を作成した
  • 適用宣言書を作成した
  • 情報セキュリティ方針を承認した
  • 規程・手順を整備した
  • 委託先評価を実施した
  • アクセス権限を棚卸しした
  • 教育を実施した
  • インシデント対応訓練を行った

18.3 審査前

  • 内部監査を実施した
  • 不適合・改善事項を是正した
  • マネジメントレビューを実施した
  • 第一段階審査に必要な文書を整理した
  • 第二段階審査で確認される現場証跡を準備した
  • 経営層インタビューに備えた
  • 認証範囲の説明が統一されている

18.4 取得後

  • 年間運用計画を作成した
  • サーベイランス審査に向けた証跡を蓄積している
  • 新規サービス・新規クラウド導入時のISMS影響評価を行っている
  • 法改正・契約変更を規程に反映している
  • インシデント・ヒヤリハットを改善に反映している
  • 次回マネジメントレビューの入力情報を蓄積している
Section 19

FAQ

よくある疑問を一般情報として整理します。

Q1. ISMS認証を取得すれば、個人情報保護法違反にはなりませんか。

一般的には、ISMS認証は情報セキュリティマネジメントシステムが要求事項に適合していることを示す第三者認証で、個人情報保護法への完全適合を保証するものではありません。安全管理措置、委託先監督、漏えい等報告、本人通知などは、別途、法令と実態に即して整備する必要があります。具体的な対応は、取扱情報、委託関係、事故態様、契約内容によって変わるため、弁護士等の専門家へ相談する必要があります。

Q2. ISMS認証取得にはどれくらいの期間がかかりますか。

一般的には、組織規模、適用範囲、既存体制、委託先数、システム数によって期間は変わります。小規模で既に規程・運用がある企業なら半年程度で準備できることもありますが、全社規模、複数拠点、クラウド・委託先が多い企業では1年以上かかることもあります。具体的な計画は、認証範囲と運用証跡の蓄積状況を踏まえて認証機関や専門家に確認する必要があります。

Q3. 法務部門はどの段階から関与する必要がありますか。

一般的には、法務部門は初期段階から関与することが重要とされています。適用範囲、法令・契約要求事項、インシデント通知、委託先管理、個人情報、秘密保持、顧客説明に関わるためです。ただし、組織体制や契約関係によって関与範囲は変わります。具体的な役割分担は、社内規程と契約状況を整理したうえで弁護士等の専門家へ相談する必要があります。

Q4. ISMS認証の範囲外の部門は何もしなくてよいですか。

一般的には、認証範囲外でも、範囲内業務に影響する部門はインターフェース管理が必要とされています。人事、総務、法務、経理、親会社、委託先、クラウド管理者が範囲内業務を支えている場合、その関係を整理する必要があります。具体的な管理範囲は、業務実態、システム構成、委託関係、認証機関の審査方針によって変わります。

Q5. 外部コンサルタントに任せればよいですか。

一般的には、外部コンサルタントは設計支援、文書化支援、教育支援、内部監査支援として有用です。一方で、ISMSは組織自身が運用する仕組みで、審査では現場が説明できることが求められます。責任まで外部へ移すことはできないため、社内の責任者、経営層、関係部門が理解して運用できる体制を整える必要があります。

Q6. すべてのリスクを技術対策で解決する必要がありますか。

一般的には、リスク対応には技術対策、規程、教育、契約、保険、委託先変更、業務廃止、リスク受容など複数の選択肢があります。重要なのは、リスクに応じた合理的な対応を選び、その理由を説明できることです。具体的な対応は、情報資産の重要度、法令・契約上の義務、費用、事業継続への影響によって変わります。

Q7. ISMS認証取得と社内体制構築で最も重要な文書は何ですか。

一般的には、適用範囲、リスクアセスメント結果、適用宣言書が中核文書とされています。これらは、何を守るのか、どのリスクを重視するのか、どの管理策をなぜ採用するのかを示すためです。ただし、組織規模、業種、契約、委託先構成によって重要文書は変わる可能性があります。具体的な文書体系は、認証機関や専門家へ確認する必要があります。

Section 20

ISMS認証取得と社内体制構築の結論

認証取得を企業の信用、契約履行、法令遵守、事業継続に結び付けます。

ISMS認証取得と社内体制構築は、情報システム部門だけの作業ではありません。企業法務、個人情報保護、契約管理、内部統制、労務、知財、会計、内部監査、経営判断を統合するプロジェクトです。

ISMSの本質は、規程を作ることでも、認証ロゴを得ることでもありません。情報資産を特定し、リスクを評価し、経営として受容可能な水準を決め、管理策を実装し、証跡を残し、監査し、レビューし、改善することです。認証は、その仕組みが一定の要求事項に適合していることを第三者に説明するための手段です。

実務上の成功条件は、次の5点に集約されます。

  1. 経営者が目的と責任を明確にすること。
  2. 適用範囲と情報資産を実態に合わせること。
  3. 法令・契約・個人情報・委託先管理をISMSに統合すること。
  4. 文書ではなく、運用証跡を重視すること。
  5. 取得後も、監査・レビュー・改善を継続すること。

企業がデータ、クラウド、AI、外部委託、グローバル取引に依存するほど、情報セキュリティは経営そのものになります。したがって、ISMS認証取得と社内体制構築は、単なるセキュリティ認証ではなく、企業の信用、契約履行能力、法令遵守、事業継続、ガバナンスを支える基盤として位置づけることが重要です。

Reference

参考文献・信頼できる情報源

制度・規格・公的情報を確認するための資料名を整理します。

規格・認証制度・公的資料

  • ISO, “ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
  • ISO, “ISO/IEC 27001:2022/Amd 1:2024 — Amendment 1: Climate action changes.
  • ISO, “ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls.
  • ISMS-AC, “JIS Q 27001:2025(ISO/IEC 27001:2022+Amd 1:2024)発行のお知らせ.
  • ISMS-AC, “ISMS(情報セキュリティマネジメントシステム)とは.
  • ISMS-AC, “情報セキュリティマネジメントシステム(ISMS)適合性評価制度の概要.
  • JIPDEC, “ISMS認証とISMS適合性評価制度.
  • JIPDEC, “ISMS/ITSMS/BCMS/AIMS認証を取得するには.
  • ISMS-AC, “ISMS適合性評価制度 ISO/IEC 27001:2022への対応について(更新版).
  • 経済産業省, “サイバーセキュリティ経営ガイドラインと支援ツール.
  • IPA, “中小企業の情報セキュリティ対策ガイドライン.
  • 個人情報保護委員会, “個人情報保護法等.
  • 個人情報保護委員会, “漏えい等報告・本人への通知の義務化について.
  • e-Gov法令検索, “個人情報の保護に関する法律.
  • e-Gov法令検索, “会社法.
  • e-Gov法令検索, “会社法施行規則.
  • e-Gov法令検索, “サイバーセキュリティ基本法.