ISMSを自力取得する方法｜必要なリソースとツールの活用法を解説

ISMSの認証取得を検討しているとき、どのような方法で取得するかは重要なポイントです。特に自社で取得したいと考える企業のご担当者や経営者の方は多いでしょう。しかし自社取得は可能なのでしょうか。

この記事では、ISMSを自力取得することについて詳しく説明します。お読みいただくと、メリットや難易度を決めるポイント、具体的な自力取得の方法などが理解できるようになります。ISMSの自力取得をご検討中の企業の皆様はぜひご参考ください。

1.ISMSを自力取得（自社主導）するメリット

ISMSを自力取得することには、さまざまなメリットがあります。初めにメリットを確認しておきましょう。

（1）コンサル費用が不要

イメージしやすいメリットとして、自力取得ならコンサル費用が不要となる点が挙げられます。取得に必要な作業を内製化して社内で行うことで、コンサルに依頼する費用が不要となります。

コンサルの費用はサポートの範囲や内容により異なりますが、新規取得なら50万～100万円が目安です。自社取得により、このまとまった額の費用を節約することが可能になります。

（2）自社に最適なルール作成が可能

また自力取得で他者がルール作成に関わらないことにより、自社に最適なルール作成が可能になります。費用面より、こちらの方が最大かつ真のメリットと言えるでしょう。いくつか具体例を挙げてみます。

【自力取得のメリット】

• 「形骸化」を防ぎ、運用の手間が最小限になる
• セキュリティの「自走力（内製化）」が身につく
• 自社視点の「効率的な仕組み」が作れる
• 信頼に対する「根拠」を自分たちの言葉で語れる

取得の労力は増えるかもしれませんが、運用する際のメリットが最大化されます。

2.ISMS自力取得に必要なリソース

続いて、ISMSの自力取得にはどのようなリソースが必要になるか考えてみましょう。ビジネスでもよく使われるリソースの分類 「ヒト」「モノ」「カネ」の3つに分けて解説します。

（1）「ヒト」：担当者の配置と作業時間

「ヒト」に関するリソースとしては、ISMSの取得や運用の業務を行う担当者が挙げられます。自社の担当者を配置する必要があります。ISMSやその他ISOの業務の経験があればよいですが、ない場合は教育するか外部から採用しなければなりません。

そして担当者が取得に関する作業を行う時間も考慮する必要があります。ISMS専任ならすべての時間を認証取得のために使うことができますが、ほかの業務と兼任の場合は時間の制約が生じます。その場合は取得までにかかる期間が長くなる可能性もあり、検討・考慮することが必要です。

（2）「モノ」：物理的・オンライン両面の設備・ツール

「モノ」という側面のリソースとしては、物理的・オンラインの両面の設備やツールが挙げられます。

物理的には、コンピューターやハードディスク、書類などを設置・保管する「場所」の管理リソースが必要です。

さらにソフトウェアや証跡管理のためのIT基盤、構築・運用のための「外部ツール」といった無形のリソースも必要になります。

（3）「カネ」：審査費用など

「カネ」として、わかりやすい例では規格書（JIS Q 27001の原文）の購入費、審査費用が挙げられます。

さらに「ヒト」「モノ」の費用も考えなくてはなりません。具体的には担当者の人件費、設備・ツールの導入・維持管理の費用などです。ここで自力取得の場合は、コンサル費用を削減可能ということになります。

3.ISMS自力取得の難易度は企業により異なる

ISMSを自力取得する場合、難易度は企業により異なります。そこで、次に難易度を決めるポイントについて解説します。大きく分けると、企業そのものの業種や規模といった特徴、社内の環境や状況、扱っている情報や情報管理の状態が挙げられます。

（1）企業の業種・規模・業務内容など

まず、企業そのものの特徴や属性です。業種により業務内容が異なり、難易度も変わります。以下、中小企業における「業種別にみたISMS取得難易度」をご紹介します。

ISMS取得難易度：業種別（〜100人規模）

業種	難易度	解説
Web制作・受託開発	低	クラウド中心で資産がシンプルなケースが多く、比較的進めやすい傾向があります。
SaaS・ITプロダクト	低〜中	技術的には整理しやすい一方、ルール未整備の場合は整備に時間を要することがあります。
IT派遣・SES	中	客先常駐が多く統制が及びにくいため、人の管理や教育が重要になる傾向があります。
広告・マーケ	中	個人データや外部ツールの利用が多く、委託先管理の負担が大きくなりやすいです。
製造業（中小工場）	中	現場とITの分断や紙運用が残るケースがあり、全体統制に手間がかかることがあります。
EC・小売	中	顧客の個人情報管理や外部サービス連携の整理が負担になりやすいです。
教育（スクール等）	中	個人情報は多い一方で運用が緩くなりやすく、ルール浸透が課題になりがちです。
コンサル・士業	中	機密情報は多いものの組織が小さい場合が多く、統制自体は進めやすい傾向があります。
人材紹介・派遣	中〜高	大量の個人情報や外部共有があり、漏洩リスク対応の負担が大きくなりがちです。
医療・ヘルスケア	高	要配慮個人情報を扱うため、厳格な運用や既存規制との整合が求められる傾向があります。
金融系（小規模含む）	高	規制や監査要求が厳しく、証跡管理や統制レベルの高度化が必要になるケースが多いです。

また拠点数も関係します。もちろん多くなるほど難易度が上がります。さらにサテライトオフィスやリモートワークの割合が高くなると、管理が複雑になり難易度が高まるのが一般的です。オフィスの区画管理・入退室管理といった物理的セキュリティの範囲も難易度に関わります。

そのほか委託先（外注）の数と管理状態（NDA締結や評価の有無）も影響します。

（2）社内の状況

さらに社内の状況も難易度を決める要因です。具体的には以下の点が挙げられます。

まず、現状の「やり方」が明文化されているか、という既存ルールの文書化レベルです。もちろん文書化されているほど準備が楽になります。またインシデント対応経験（過去のトラブルへの対処実績）がないと、準備の労力が増えます。

さらにヒトの面もポイントです。経営層の本気度が高ければ、準備の進行がスムーズ・スピーディーになります。従業員のITリテラシーと協力姿勢（教育やルール遵守への抵抗感）も重要です。非協力的だとスピードが落ちたり、場合によっては準備がストップしたりします。

（3）情報の内容と情報管理の状況

さらに扱っている情報の内容と情報管理の状況も難易度を左右します。情報の機密レベル（扱うデータの種類や顧客からの要求水準）が高いほど難易度も高まります。

そのほか管理の状況や体制として、以下の点も難易度を決めるポイントになります。

• ITインフラ環境（フルクラウド、自社サーバーもある）
• 社内グループウェア（Google Workspace、Microsoft 365、サイボウズ、その他、利用していない）
• 個人所有デバイス（BYOD）の利用有無（私用スマホ・PCの業務利用）

情報セキュリティの企画だけに、扱う情報やその管理状況で難易度が決まるのは理解しやすいのではないでしょうか。

4.ISMSを自社取得する方法

では、ISMSを自力取得する方法について見ていきましょう。これまでにISOの取得や運用の経験者がいない限り、ツールやコンサルを利用せず取得するのは現実的ではありません。

（1）ツールの活用は必須

ISMS取得もしくは運用経験のある人材がいない限り、少なくともツール利用は不可欠だと言えます。自力では、システム構築の要求事項を理解してシステムに反映することが難しいためです。ツールを利用すれば、指示に従って作業していくことで規格に合うシステムを構築できます。具体的なツールのメリットとしては、以下の点が挙げられます。

【ツールを利用するメリット】

• 「規格の解釈」をショートカットできる
• 「審査に落ちる文書」を作らずに済む
• 「運用の形骸化」を防げる

ツールにより、ムダな作業や時間を大幅に削減可能です。ツールを選ぶ際は、複数社のツールのデモ版を入手して担当者が自分で回せそうなツールを選ばせるとよいでしょう。

（2）コンサルに依頼する場合

ツールは自力取得に大いに役立ちますが、ISMS取得もしくは運用経験のある人材がいない場合はコンサルに依頼するのがもっとも確実で早い方法です。規格に適合し審査に通るシステム構築をサポートしてもらえるためです。

コンサルのメリットとしては、以下の点が挙げられます。

【コンサルに依頼するメリット】

• 担当者の工数を大幅削減できる
• 1年以内の取得が保証される
• 審査対応の予行演習（模擬審査）により確実性が高まる

事実、ISMSを取得する企業の多くがコンサルに依頼しています。

（3）ツール×コンサルの「ハイブリッド型」

ツールとコンサルのハイブリッド型という選択肢もあります。ツールを使いつつ、コンサルが手伝ってくれるサービスを利用するという方法です。これにより、自力取得のメリットとコンサルのメリットの両方を享受することができます。

たとえば3ACのツール「ISMSアシスト」の「らくらく運用プラン」なら、コンサルのサポートも受けることができます。

5.3ACの「ISMSアシスト」は幅広いニーズに対応

（1）予算を抑えることを優先するならツール単体

予算を抑えたいなら、コンサルのサポートなしでツールとして利用する「アシスト自走プラン」を試してみる方法があります。運用に慣れた会社様で、自社運用されたい場合にとくにおすすめです。

ツール自体、操作を自動でナビゲートするので迷わない作りになっています。さらにチャット相談できるカスタマーサポートが無制限で利用できるので、自力取得に利用する際も安心です。

（2）初年度はらくらく運用プラン、次年度から自走プランという手もある

ISMS認証の取得時は「らくらく運用プラン」を利用し、取得後の運用は「アシスト自走プラン」で行う方法もあります。その場合、次年度からコストが2万円/月と「らくらく運用プラン」の半分になります。これは業界最安レベルです。

らくらく運用プランは、アドバイスが無制限で受けられるコンサルティングサポート付きのプランです。書類作成（データ入力）はすべてコンサルタントが対応します。

取得時は手厚いコンサルのサポートを受け、運用フェーズに移ったら自走することで、スムーズな取得と低コストの運用が可能になります。新規取得や初めてで不安の方に向いています。

6.まとめ

ISMSの自力取得は決して不可能ではありません。ただし自社の状況やISO取得・運用の経験などに応じて難易度は変わります。経験がない場合はツールの活用は必須で、コンサルの利用はさらにスムーズかつ確実な取得につながります。

自社に適した方法はどうか、この記事を参考に判断していただければ幸いです。