１．ISMS新規取得のために必要な費用

⑴審査費用の相場

ISMS取得にかかる審査費用とは、同審査を実施する審査機関が設定する審査費用により異なります。審査費用は一定ではありません。
例えば、以下のいずれかによっては審査費用の変動が生じます。

・依頼する審査機関
・企業業種
・ISMS取得対象拠点数
・ISMS取得対象従業員数

相場としては、約50万円〜130万円程度が想定されます。
新規取得の場合においては、維持・更新とは異なり、２段階の審査があります。
「第1段階審査費用」「第2段階審査費用」それぞれの審査費用が発生しますので注意が必要です。それぞれの審査費用は維持・更新審査費用の２倍〜３倍程度です。

⑵コンサルティング費用の相場

ISMS認証取得にあたり、外部コンサルタントへの依頼を実施する場合に発生する場合は、その費用も想定する必要があります。
こちらも審査機関費用と同様に、各コンサルティング会社によって異なります。
平均的には、コンサルティング費用は約数十万円より数百万円になると想定されます。

なぜ費用差が発生するかというと、コンサルティング会社ごとにサービス内容が異なる場合が多く、サービスプランによって、受けられるサポートの大小があるからです。
例えば、ISMS取得にあたっての必要文書構築のためのアドバイスのみだと費用が低めに設定されることが多いですが、全体的な運用のアドバイス、作業サポートなどを含む場合は、高めの金額が設定される傾向があります。

 

⑶維持・更新にかかる費用は？

ISMS認証取得後に毎年訪れる定期的な審査の概要とかかる費用について解説します。
運用時におけるISMS審査の体系は以下の２点です。

• １．定期維持審査（サーベイランス審査）
  毎年１年間隔にて実施される定期審査です。新規審査のように構築状況を一から審査するものではなく、直近１年間の運用状況の経過を審査するような位置づけとなります。
  よって、審査費用相場としても新規審査より費用は下がり、新規審査費用の３分の１〜程度の費用がかかります。
• ２．更新審査（再認証審査）
  まず、ISMSの有効サイクル（有効期限）は一定で３年間になります。つまり３年目の最終年においては次のサイクルへ移るための更新審査が実施されます。位置づけとしては、定期審査とは異なり、３年間の運用状況の経過、有効性の状況を審査することとなるため、新規審査費用の２分の1〜程度の費用がかかります。

 

２．ISMSの自力取得は可能なのか？

ISMS取得を試みるにあたって、外部コンサルタントを利用するか否かを迷うことがあると思いますが、自社のみでの自力取得も十分に可能です。
よって、利用するか否かは以下のような事情を考慮した上で決定することが通例です。

・ISMS認証取得までの工数を削減したい
・早くISMS認証取得を完了したい
・自社にはISMSを構築できるだけのリソースが存在しない

 

３．コンサルティング会社に依頼する場合の注意点

⑴費用について

コンサルティング費用については大きく以下のような2点に分けられます。

• ① アドバイスの提供で支援するタイプのコンサル会社
  アドバイス、提案が対価になり、適正価格の設定が曖昧です。70万〜120万程度です。
• ② アドバイスだけでなく、作業も手伝ってくれるタイプのコンサル会社
  お客様の工数削減が対価になります。価格相場も45万〜60万程度です。

⑵対応の速さについて

それぞれのコンサルティング会社の対応スピードについては以下のイメージです。

• ① アドバイスの提供で支援するタイプのコンサル会社
  お客様へのアドバイス及び改善提案を実施し、適宜宿題を発生させるため、認証取得までの
  スケジュール含め、対応スピードは少々遅く、長期化しやすいのが特徴です。
• ② アドバイスだけでなく、作業も手伝ってくれるタイプのコンサル会社
  コンサルタントが作業も行うため、対応スピードは速く、認証取得までのスパンも短期化しやすいという特徴があります。

⑶サービス内容について

サービスについては、以下のような４つのパターンが例として挙げられます。

• ① 新規取得支援タイプコンサル
  ・アドバイスメインであり、作業は自社内でしなければならず、負荷あり。
  ・担当者の規格要求事項への理解と作業工数がかかる。
• ② 新規取得サポートタイプコンサル
  ・取得に向けて、作業のサポート実施。取得後の運用フォローの仕組みがない場合は検討が必要。
• ③ 運用支援タイプコンサル
  ・アドバイスメインであり、作業に関する工数は企業自身にかかる。
• ④ 運用サポートタイプコンサル
  ・作業工数がかからない大きなメリットあり。
  ・完全丸投げで運用主体が企業自身ではなくなってしまうような手伝いの仕方をする業者もあり、注意が必要。
  ・企業自身を運用の主体に置き、意思決定をしてもらえるように情報提供を行い、作業負荷の低減をしてくれるタイプのコンサルを選ぶのが理想。

 

⑷会社の規模について

コンサルティング会社の会社規模によっては認証取得にかかるトラブルや遅延につながるようなリスクも考えられます。
いわゆる数名程度の小規模なコンサルティング会社の場合にはキャパシティの問題から、そういったトラブルにつながる可能性があるため考慮が必要です。

 

４．ISMS認証を取得するメリット

ISMS認証を取得すると、社内及び対外的なメリットがあります。

⑴従業員の情報セキュリティへの意識向上

ISMS認証取得において、情報セキュリティに関するルールの作成や社内周知を実施するに伴い、従業員の情報セキュリティ意識の向上を図ることができます。

⑵取引先などへの信頼の向上

ISMS認証取得することで、関係先に対してISMS認証所持のアピールにより信頼度が向上します。
自社内にて情報セキュリティ保護について確実に取り組んでいるというアピールになります。

 

⑶情報セキュリティリスクを減らせる

ISMS認証は、情報セキュリティ管理を仕組化し、確実な運用を促進させることが可能なため、情報セキュリティリスクが低減されます。

特に、ISMS認証の運用項目の主軸でもある“情報資産リスクアセスメント”を実施するにあたり、企業にて取り扱う情報資産又はサービス等に関する情報セキュリティリスクについての分析及び改善対応が可能であり、情報セキュリティリスク低減への貢献を期待できます。

 

５．ISMS認証を取得するデメリット

ISMS認証を取得するメリットがたくさんある一方、デメリットも存在します。

⑴ISMS認証のための業務が増える

・ISMS認証は３年サイクルでの運用となり、毎年訪れる定期審査又は３年ごとの更新審査に向けて確実な運用を実施する必要があります。そのため、認証維持のための業務が増加します。

 

⑵審査費用やコンサル費用が発生する

・本コラムでもいくつか解説しましたが、ISMS認証取得にあたって、審査費用やコンサルティング費用がかかります。
コンサルティング費用はコンサルサービスを利用する場合にのみ発生しますが、審査費用については毎年、審査時の費用として発生します。

 

⑶マニュアルが増え、書類の管理が大変になる

・ISMS認証運用を実施するからには、運用のためのマニュアル、手順、標準類が追加で必要になるというのが通例であり、それにより管理すべき文書類が増加する可能性があります。

 

６．ISMS（ISO27001）とは？

ISMSとはそもそもどんなものなのでしょうか。
ISMSとは、Information Security Management Systemの頭文字をとった略称で、日本語で「情報セキュリティマネジメントシステム」という意味です。情報セキュリティ保護を目的としてマネジメントシステムのことを指します。

⑴ 情報セキュリティを構成する3つの要素

情報セキュリティを構成する要素は以下の３点です。
① 【機密性】
② 【完全性】
③ 【可用性】

【機密性】とは、アクセス権を許可された者のみが情報使用等を行えるよう制限することです。
【完全性】とは、情報の内容が正確かつ最新であることです。
【可用性】とは、必要な情報を常時使用できる状態に保全しておくことです。

 

⑵ JIS Q 27001（ISO/IEC 27001）について

「JIS Q 27001」又は「ISO/IEC 27001」は、ISMSに取り組む時の要求事項を定めた規格です。
情報セキュリティマネジメントを行うための明確な基準として設定されており、これらに準拠したISMS運用を自社にて実施することが必要です。
※JIS Q 27001：日本語訳版、ISO/IEC 27001：国際規格版

 

７．ISMSとプライバシーマークの違い

⑴ISMSとプライバシーマークの違い

ISMSとプライバシーマークの相違点について紹介します。

① 規格の違い
対象となる規格は以下のように異なります。
プライバシーマーク：JIS Q 15001適合認定制度
ISMS: JIS Q 27001（ISO/IEC 27001）

② 審査の違い
審査の違いとしては、主に難易度や範囲が異なります。簡単に列挙したものが以下です。

●プライバシーマーク
①審査時に「狭く・深く」見られる
②個人情報保護を基準に平均的なリスク対策が必要
③組織全体で認証
④審査機関すべて価格が同じ＝競争原理なし
⑤ 審査が1日で終わる
⑥ 審査は従業員のみが立会可能

●ISMS
①審査時に、「広く・浅く」見られる
②リスクに応じて対策が打てる、ルールに自由度有
③認証範囲を選べる（全社・事業部・拠点等）
④審査機関すべて価格が違う＝競争原理ある
⑤審査日数が対象人数に応じて変わる
⑥コンサルタントの審査立会が可能

 

③ 業界・市場の違い
それぞれの規格にて業界・市場が大きく異なるわけではないですが、主にプライバシーマークにおいては、個人情報をより多く取り扱うを可能性のある人材派遣業界、士業、ＥＣ業界等での取得が多いというのが特徴であり、ISMSは幅広い業界にて取得されています。

 

⑵クラウドセキュリティに関するISO27017との違いは？

ISMSとISO27017がよく比較されることがあります。それぞれISO規格であることに違いはありませんが、建付けを簡単に見ていきましょう。
まず、ISMSについては前述してきた通り情報セキュリティマネジメントシステムを扱う規格であり、ISO27017は少々特別な規格となっています。

ISO27017はクラウドサービスセキュリティに特化したマネジメントシステムで、クラウドサービスを提供又は利用している企業が取得可能なものです。ISMSとは似て似つかない部分もありますが、基準はISMSとなり、その上にISO27017が成り立っています。

よって、基準はISMSのため、ISO27017を取得するにはISMSとの同時取得が必要であり、ISO27017単体での取得はできません。

 

８．ISMS（ISO27001）とISO27017を同時に取得する場合

⑴ 同時取得について

ISO27017を取得するにはISMSとの同時取得が必要であり、ISMSを先に取得しておくか、同時取得をするかのどちらかになります。
この同時取得の理由としては、ISO27017の位置づけが“アドオン規格”とされており、ISMSへの追加規格であるからです。

 

⑵ 費用について

ISMS同様に、ISO27017取得にあたっても審査費用の負担が発生します。ISMS費用への上乗せとなり合算費用での審査を実施します。

 

⑶ 適用範囲について

ISO27017の適用範囲は、ISMS（ISO27001）と同一か、ISMS範囲内です。
ISMSとISO27017の対象組織・対象拠点・対象部門は同一か、ISMSの範囲にISO27017が包括されている状態にしなければいけません。

 

⑷ 審査について

ISMSと同時審査実施です。
例外的に、ISO27017のみ別日での審査も可能ではありますが、費用や工数が増加する等推奨はできません。

 

◆まとめ

ISMS取得にあたっての費用面や自力取得にあたってのポイントは以下３点です。
① 審査費用は審査機関ごと又は組織ごとに異なり、審査種別ごとにも異なるため確認が必要。
② ISMSの自力取得は可能。外部コンサルタントに依頼する場合にはメリット・デメリットがあること。
③ 外部コンサルタントについてもサービス体系が異なるため、選別が必要であること。

ISMS取得企業は年々増加し続けており、これを機に情報をキャッチし、差別化を試みてください。
取得におけるサポートについては当社も実施しておりますため、お困りの際にはぜひお声がけください。