2024年12月19日
目次
- 1. ISMS認証取得にかかる費用(1)審査費用
- 1-1. 初回審査費用(1年目に発生)
- 1-2. 維持審査費用(毎年発生)
- 1-3. 更新審査費用(3年ごとに発生)
- 2. ISMS認証取得にかかる費用(2)コンサルティング費用
- 2-1. コンサルティング費用とは?
- 2-2. コンサルティング費用の相場
- 2-3. 自社で対応できる?
- 2-4. 月額4万円でしっかり運用サポートまで行う認証パートナー
- 3. ISMS認証取得にかかる費用(3)内部費用
- 3-1. 従業員の人件費
- 3-2. 教育費用
- 3-3. システム改修費用
- 3-4. ツール導入費用
- 4. ISMS認証取得にかかる費用を抑えるポイント
- 4-1. 認証機関は相見積もりを取って比較する
- 4-2. 助成金制度を活用する
- 4-3. 自社のトータル負荷を減らせるコンサルタントを見極める
- 5. まとめ
「ISMS認証の取得を検討しているけれど、どのくらいの費用がかかる?」
という疑問をお持ちではないでしょうか。
結論からお伝えすると、大きく分けて、審査費用・コンサル費用・内部費用の3種類の費用が生じます。そのうち、審査費用の目安を表にしたものが下図となります。
近年、情報セキュリティの重要性が高まるなか、ISMSへの関心が高まっています。しかし、認証取得には一定のコストがかかるため、費用対効果を見極めたいという方も多いでしょう。
この記事では、ISMS認証取得にかかる3種類の費用について、具体的に解説します。
効果的に費用を抑えるポイントもご紹介しますので、ISMS認証取得の意思決定や予算組みの参考情報として、お役立てください。
1. ISMS認証取得にかかる費用(1)審査費用
ISMS認証取得の際にかならず発生するのが、第三者認証機関による「審査の費用」です。審査は初回の認証取得時だけでなく、認証維持のために定期的に受ける必要があります。
ここでは、審査費用の内訳を見ていきましょう。
- 初回審査費用(1年目に発生)
- 維持審査費用(毎年発生)
- 更新審査費用(3年ごとに発生)
※注:審査費用は審査機関によって異なります。文中に記載している金額は目安であり実際と大きく異なる場合もあります。また、一次審査+二次審査+ISO登録料の合計で、審査員の交通費・宿泊費は含まれていません。
1-1. 初回審査費用(1年目に発生)
初めてISMS認証を取得する際には、第三者認証機関による「初回審査」を受ける必要があります。
申請書類の提出から始まり、一次審査、二次審査、判定委員会での認証可否の判定を経て、認証取得に至る一連のプロセスが初回審査です。
【初回審査費用の相場(※概算)】
| 従業員数 | 費用 |
|---|---|
| 1~10名 | 535,000円 |
| 11~25名 | 640,000円 |
| 26~45名 | 880,000円 |
| 45~65名 | 1,020,000円 |
| 66~85名 | 1,090,000円 |
| 86~125名 | 1,240,000円 |
【初回審査の流れ】
- 申請書提出:認証機関に申請書を提出し、審査日程や費用見積もりについて打ち合わせます。
- 一次審査:申請書類に不備がないか、ISMS文書が要求事項を満たしているかを確認します。
- 二次審査:審査員が実際に現地に赴き、ISMSが適切に運用されているかを確認します。
- 判定委員会:一次審査・二次審査の結果を踏まえ、認証可否の判定が下されます。
- 認証取得:判定委員会にて認証取得が承認されると、認証書が交付されます。認証書の有効期間は3年間です。
初回審査では、社内のISMS体制が認証基準に適合しているかが厳しく審査されます。万全の準備を行い、スムーズに認証を取得できるよう尽力しましょう。
重大な不適合が出て再審査になった場合には、再審査費用と審査員の交通費などが追加で発生しますので、注意が必要です。
1-2. 維持審査費用(毎年発生)
ISMS認証は取得して終わりではありません。認証取得後も、ISMSが継続的に適切に運用されていることを示すため、毎年1回の維持審査を受ける必要があります。
【維持審査費用の相場(※概算)】
| 従業員数 | 年間費用 |
|---|---|
| 1~10名 | 210,000円 |
| 11~25名 | 290,000円 |
| 26~45名 | 340,000円 |
| 45~65名 | 440,000円 |
| 66~85名 | 440,000円 |
| 86~125名 | 480,000円 |
【維持審査のポイント】
- 前回の審査から変更された部分に重点が置かれ、変更管理が適切に行われているかがチェックされます。
- 軽微な指摘事項は、その場で是正できれば問題ありません。重大な不適合は再審査が必要になることもあります。
- 審査工数は1〜2日程度で、審査員1〜2名で行われるのが一般的です。
- 審査に合格すると、次回の維持審査まで認証の有効性が維持されます。
維持審査は、ISMS運用の定着度や改善状況を確認する重要な機会です。日頃からISMSのPDCAサイクルを回し、審査に万全の態勢で臨みましょう。
1-3. 更新審査費用(3年ごとに発生)
ISMS認証の有効期間は3年間です。有効期限が切れる前に、あらためて認証基準への適合性を確認するための更新審査を受審します。
【更新審査費用の相場(※概算)】
| 従業員数 | 更新審査費用 |
|---|---|
| 1~10名 | 400,000円 |
| 11~25名 | 470,000円 |
| 26~45名 | 600,000円 |
| 45~65名 | 670,000円 |
| 66~85名 | 790,000円 |
| 86~125名 | 840,000円 |
【更新審査の特徴】
- 1年ごとの維持審査よりも審査工数が多くなるのが一般的です。
- 文書類の改訂状況、パフォーマンス評価、マネジメントレビューなどが重点的に確認されます。
- 前回の審査から変更された部分も注意深くチェックされます。
- 不適合がある場合、有効期限までに是正処置を完了させる必要があります。
- 審査に合格すると、新たに3年間の有効期間が付与されます。
更新審査は、3年間のISMS運用の集大成ともいえる重要な審査です。日頃の取り組みが問われる場だけに、審査に向けた入念な準備が欠かせません。
以上のまとめとして、冒頭の表を再掲します。
5年目以降も、毎年の維持審査費用と3年ごとの更新審査費用が発生します。
2. ISMS認証取得にかかる費用(2)コンサルティング費用
自社の情報セキュリティ体制を見直し、ISMS認証基準に適合させるのは容易ではありません。
そのため、多くの企業がコンサルティングを利用します。続いて、コンサルティング費用について解説します。
- コンサルティング費用とは?
- コンサルティング費用の相場
- 自社で対応できる?
- 月額4万円でしっかり運用サポートまで行う認証パートナー
2-1. コンサルティング費用とは?
ISMS認証取得の際、専門知識を持ったコンサルタントに支援を依頼するための費用が、コンサルティング費用です。
【ISMSコンサルティングのおもな内容】
- ISMS構築支援:現状分析、リスクアセスメント、ISMS文書作成、教育・訓練、システム導入支援など、ISMSの認証取得に向けて必要な体制構築をサポートします。
- 認証取得支援:適切な認証機関の選定、審査対策、審査対応、不適合対応など、スムーズに認証を取得するためのサポートを行います。
- ISMS運用支援:内部監査、マネジメントレビューなどの支援や、 ISMSの継続的な改善活動のサポートを行います。
コンサルティングを活用する意義は、大きく2つあります。1つめは「認証取得の可能性を大幅に高められること」です。早く確実にISMS認証を取得したい企業にとって、コンサルティングは不可欠です。2つめの意義は、「時間とコストを削減できること」です。ISMS構築や認証取得に必要な作業をコンサルタントに委託し、自社の負担を軽減できます。
2-2. コンサルティング費用の相場
コンサルティング費用は、依頼する会社や支援内容によって大きく異なります。相場は一律ではありませんが、おおよそ以下のような金額感になるでしょう。
【コンサルティング費用の目安】
- 「アドバイスのみ」コンサル:30〜50万円/年
リーズナブルな価格設定ですが、アドバイスを受けながら担当者がイチから作るため、無駄なルールが増えやすく、認証後の運用が大変になりやすいという課題があります。 - 「アドバイス + 運用サポート」コンサル:50〜150万円/年
プロがお客様の現状をヒアリングしながら、文書・ルールを作成するため、必要最低限で実務に沿ったISMSの運用が可能です。
自社の体制に合わせ、適切な支援内容と期間を見極めることが重要です。
2-3. 自社で対応できる?
「コンサルティング費用を抑えるために、自社のみでISMS認証を取得できる?」
という点が知りたい方も多いでしょう。
結論からいえば、非常に困難な道となるケースが多いため、おすすめはできません。社内で試行錯誤が必要なため、社内リソースを多く割かざるを得ず、それでも認証を受けられないリスクがあります。
一方で、一定の条件を満たしている企業であれば、自社対応でのISMS認証取得も選択肢となり得ます。具体的には以下をご確認ください。
【自社対応を検討できる企業の要件】
- 情報セキュリティ専任担当者の在籍:情報セキュリティに関する専門知識を持ち、ISMSの構築・運用をリードできる専任の人材が社内に在籍していることが、まず大前提です。ISMSの規格であるISO27001の要求事項を理解し、社内の実態に合わせて適用できる人材の存在が欠かせません。
- 経営層の強力なコミットメント:ISMS認証取得の意義を理解し、強力にバックアップする経営層の存在が必要です。トップのリーダーシップなくして、全社的なISMSの浸透は望めません。予算や人員の確保など、経営層の強力な後ろ盾が必要不可欠といえるでしょう。
- 従業員のセキュリティ意識の高さ:ISMSの実効性を高めるには、全従業員のセキュリティ意識の向上が欠かせません。自社対応で進める場合、従業員一人ひとりにISMSの重要性を浸透させ、協力を得られる土壌が必要です。
- 文書化の習慣:ISMSでは、規程や手順書などの文書化が重要な要素のひとつです。日頃から業務プロセスや手順を文書化する習慣が社内に根付いていれば、ISMS文書の整備もスムーズに進めやすいでしょう。
- 品質マネジメントシステム導入の経験:ISO9001など、ほかのマネジメントシステム認証の取得経験があれば、ISMSへの対応もスムーズといえます。PDCAサイクルを回す習慣が備わっていたり、システム運用の知見が社内に蓄積されていたりと、ISMSの土台となる基盤が既に存在しているケースが多いからです。
2-4. 月額4万円でしっかり運用サポートまで行う認証パートナー
「自社だけでの対応は難しいが、高額のコンサル費用の捻出も難しい」
という場合には、月額4万円(年間48万円)の認証パートナーのご利用をご検討ください。
料金はお手頃価格でありながらも、認証率100%を誇る高品質なコンサルティングをご提供します。詳しくは以下の資料をダウンロードしてご確認ください。
3. ISMS認証取得にかかる費用(3)内部費用
ISMS認証取得には、審査費用やコンサルティング費用以外にも、自社で負担する内部費用が発生します。人件費、教育費用など、見過ごされがちな内部費用についても理解を深めておきましょう。
- 従業員の人件費
- 教育費用
- システム改修費用
- ツール導入費用
3-1. 従業員の人件費
【ISMS関連で発生するおもな業務】
- プロジェクト管理:ISMS認証取得プロジェクトの計画、推進、進捗管理などを行います。
- 現状分析・リスクアセスメント:自社の情報セキュリティの現状を分析し、リスクアセスメントを実施します。
- 文書整備:規程・手順書などISMS文書の整備を行います。既存の文書の改訂も必要です。
- 実装・運用:ISMSで定めた管理策を実装し、運用します。運用の記録も欠かせません。
- 内部監査:ISMSが適切に運用されているか、定期的に内部監査を行います。
これらの業務を本来の業務と並行して進めなければならないため、負荷が大きくなります。
人件費を最小限に抑えるには、効率的な体制作りと、メリハリのある業務の進め方が重要です。加えて、前述のコンサルタントをうまく使うことも鍵となります。
3-2. 教育費用
ISMSを全社的に浸透させ、実効性を高めるためには、従業員教育が欠かせません。その際に発生するのが、教育費用です。
【教育費用のおもな内訳】
- 教材作成費:ISMSの基礎知識、自社の規程・手順などを解説する教材の作成費用がかかります。
- 講師への謝金:社外の講師を招く場合は、謝金が発生します。
- 会場費・設備費:教育を行う際の会場費や、必要な設備のレンタル料などがかかります。
- 受講者の人件費:教育に参加する従業員の人件費も、広い意味での教育費用といえます。
eラーニングを活用するなど、工夫次第で教育費用を抑えることは可能です。ただし、教育の質を落とさないよう注意が必要です。
3-3. システム改修費用
ISMSの要求事項を満たすために、既存のシステムの改修が必要になることがあります。
【システム改修が必要になりやすい例】
- アクセス制御:重要な情報へのアクセス制御が不十分な場合、改修が必要になります。
- ログ管理:証跡を残すため、ログ管理機能の改修・追加が求められることがあります。
- 暗号化:重要な情報を暗号化していない場合、暗号化機能の実装が必要になります。
- 脆弱性対策:既知の脆弱性を放置していると、改修を求められます。
改修の規模によっては、大きな費用が発生する可能性があります。過度な投資を強いられないよう、適切な改修範囲の見極めも重要です。
3-4. ツール導入費用
ISMS関連の業務を効率化するために、専用ツールの導入を検討することもあるでしょう。
【ISMS関連のツール例】
- リスクアセスメントツール:リスクの抽出、分析、評価をサポートするツールです。
- 文書管理ツール:ISMS文書の作成、承認、配布などを一元管理できるツールです。
- 監査支援ツール:内部監査の実施、指摘事項の管理などをサポートするツールです。
- 脆弱性診断ツール:自社のシステムやWebサイトの脆弱性を自動的に診断するツールです。
- eラーニングシステム:ISMSに関する教育をオンラインで実施できるシステムです。教育の効率化に寄与します。
ツールを適切に活用すれば、業務の効率化や品質向上が期待できます。一方で、導入・運用には一定のコストがかかることも事実です。
費用対効果を見極めつつ、自社に本当に必要なツールを選定することが大切です。
なお、システム改修やツール導入の要否は、専門家でないと見極めが難しい面があります。コンサルタントのアドバイスを受けながら判断することをおすすめします。
4. ISMS認証取得にかかる費用を抑えるポイント
ここまで見てきたように、ISMS認証取得には相応の投資が必要です。最後に、費用を抑えつつ、効果的に認証を取得するためのポイントをお伝えします。
- 認証機関は相見積もりを取って比較する
- 助成金制度を活用する
- 自社のトータル負荷を減らせるコンサルタントを見極める
4-1. 認証機関は相見積もりを取って比較する
1つめのポイントは「認証機関は相見積もりを取って比較する」です。
ISMS認証取得にかかる費用を抑えるために、まず検討したいのが、認証機関の選定です。審査費用は認証機関によって異なります。
場合によっては、最安と最高値の機関で3倍もの差があるケースもありますので、複数の認証機関から見積もりを取り、比較検討することが欠かせません。
【見積もり確認のポイント】
- 宿泊費や交通費:直接的な審査費用以外に、審査員の宿泊費や交通費といった必要経費の支払いが必要となります。認証機関によって差が出やすいポイントですので、十分に比較しましょう。
- 長期的な料金体系:見積もりを取る際は、初回審査費用だけでなく、維持審査費用や更新審査費用など、トータルコストを確認することが大切です。
ただし、単に安い認証機関を選ぶのではなく、自社のニーズに合った認証機関を選ぶことも大切です。認証機関との信頼関係が、円滑なISMS認証取得と、その後の継続的な改善活動に大きく影響するからです。
認証機関の選び方については、以下の記事もあわせてご覧ください。
4-2. 助成金制度を活用する
2つめのポイントは「助成金制度を活用する」です。
セキュリティ対策に関わる助成金制度の利用によって、費用の一部を補助してもらえる可能性があります。
【代表的な助成金制度】
- サイバーセキュリティ対策促進助成金:中小企業などを対象に、サイバーセキュリティ対策を実施するための設備などの導入を支援する制度です(参考:サイバーセキュリティ対策促進助成金(東京都中小企業振興公社))。
- IT導入補助金:中小企業などの生産性向上に資するITツール導入を支援する制度です。業務効率化やDXに向けた ITツール(ソフトウェア、サービスなど)の導入費用に活用できます(参考:IT導入補助金2024)。
- 自治体の支援制度:自治体によっては、独自の補助金制度を用意していることもあります。役所や地元の商工会議所などに相談してみるとよいでしょう(参考:ISO等取得補助金)
助成金を受けるには、申請書類の作成など、一定の手間がかかります。しかし、費用の一部を補助してもらえるメリットは大きいため、積極的に活用を検討しましょう。
4-3. 自社のトータル負荷を減らせるコンサルタントを見極める
3つめのポイントは「自社のトータル負荷を減らせるコンサルタントを見極める」です。
コンサルティング費用を抑えつつ、自社の負担をできる限りなく減らせるパートナーを選ぶことが重要です。
【理想的なコンサルパートナーの条件】
- 実績が豊富:数多くの認証取得支援実績があり、業界や企業規模に応じた最適なアプローチを提案できるコンサルタントを選びましょう。
- 社内で行うタスクを委託できる:文書作成やリスクアセスメントなど、時間と労力のかかる作業を代行してくれるコンサルタントなら、社内リソースを効率的に活用できます。本業への影響を最小限に抑えられます。
- 費用対効果が高いサービスを提供している:コストの安さだけでなく、それ以上の価値をもたらしてくれるコンサルタントを見極める必要があります。
コンサルタントの選定は、ISMS認証取得の成否を大きく左右します。サービス内容や相性なども含めて総合的に判断することをおすすめします。
その際には、ぜひ8,000社以上の支援実績と認証率100%を誇る認証パートナーへご相談ください。
お客様の作業工数を限りなくゼロにして、認証取得までしっかりサポートします。無料でオンライン相談を行っていますので、お気軽にご利用ください。
5. まとめ
本記事では「ISMSの費用」をテーマに解説しました。要点をまとめておきましょう。
審査費用について、以下を解説しました。
- 初回審査、維持審査、更新審査の3種類の審査費用が発生する
- 審査費用は審査機関や企業規模によって異なるため、複数の審査機関から見積もりを取る
コンサルティング費用について、以下を解説しました。
- ISMS認証取得の支援を依頼するコンサルティング費用は、30万円〜150万円程度が相場
- コンサルなしの自社対応は、一定の条件を満たしていれば検討の余地があるが、多くの企業では困難
内部費用について、以下を解説しました。
- 人件費、教育費、システム改修費、ツール導入費などが内部費用として挙げられる
- コンサルタント活用も含めて費用対効果の高い進め方を検討する必要がある
ISMS認証取得にかかる費用を抑えるポイントは以下のとおりです。
- 認証機関は相見積もりを取って比較する
- 助成金制度を活用する
- 自社のトータル負荷を減らせるコンサルパートナーを見極める
本記事を参考にISMS費用の全体像を把握し、スムーズな認証取得および運用に向けて、取り組みを進めていただければ幸いです。
ISO・Pマーク認証更新でお悩みの方へ
認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ