１．ISMSの適用範囲について

⑴適用範囲の定義について

ISMSの適用範囲は、「事業・組織・所在地・資産・技術の特徴の観点から、ISMSの適用範囲及び境界を定義する。」と定められています。

適用範囲は事業所名や部署名及び住所で明示されます。
ISMS取得企業の適用範囲は、以下で公開されています。
ISMS認証取得組織検索（外部リンク）

⑵ISO27001の規格要求事項とは

ISO27001の要求事項は、例えば、社内で扱ったり管理する情報、社外に持ち出す情報など、色々な場面での情報セキュリティに関する方針を決めたり、内部監査を行うルールを定めています。

規格要求事項の大きな流れは「構築」→「運用」→「改善」(繰り返し)です。

２．ISMSの適用範囲はいつ決めるべきか

ISO27001の新規取得時においては、マニュアル等を作成する前に適用範囲を決めます。

始めにISO27001の影響を及ぼす範囲を定めてから取得に向けて準備を進めます。

３．ISMS適用範囲の「業務内容」

⑴「業務内容」を決めるポイント

下記2点が大きなポイントとなります。

1. できるだけ幅広い表現にすること
2. 実施していない業務を含めないこと

例えば、①に不備がある場合は拡大審査といった審査を追加で実施する必要があります。
拡大審査とは、適用範囲を後から拡大させる際に必要な審査で、追加費用が発生します。

また、②に該当する場合は、審査員より必要の無い質問を受ける場合や、ときには不適合が発生する恐れがあります。実態とISMSの運用を整合させることが必要になりますので、適用範囲を決める際は注意が必要です。

⑵ISMS適用範囲の実例

ISMS適用範囲の例を挙げます。
(実例)①コンピュータソフトウエアの設計・開発及び販売
コンピュータ及び周辺機器の販売
コンピュータソフトの技術者の派遣業務
コンピュータシステムに関する企画・サポート

(実例)②ウェブサイトの設計・制作・保守
システムの設計・開発・保守
サーバーの設計・構築・保守
ネットワークの設計・構築・保守 ＩＴに関連する企画・コンサルティング
人材派遣

ISMS取得企業の適用範囲は、以下で調べることが可能です。
ISMS認証取得組織検索（外部リンク）

⑶注意点

①やってない業務は含めないこと
「やっていない業務」を含めることによって、ルールと実態が整合していないと審査員に判断される可能性があります。そうなった場合は、不適合が発生し是正対応を求められます。

②曖昧な表現は使用しないこと
「曖昧な表現」を使用することにより、審査時に広義的に解釈されることがあります。
そうなった場合、想定していた質問等から外れ、スムーズに審査が進まないケースもあるため、注意が必要です。

４．ISMS適用範囲の「対象部門」と「拠点」

⑴「対象部門」「拠点」を決めるポイント

組織内の「課題」と「利害関係者のニーズ・期待」を把握できれば、必然的に、組織が重点的にセキュリティ対策を行う必要がある業務や部署が見えます。そこを対象部門へ追加します。

例えば「利害関係者のニーズ・期待」とは、ISO27001の取得要望等が挙げられます。

⑵ISMS適用範囲

ISMS適用範囲の例を挙げます。

対象部門　E社
管理部
営業部
DX推進事業部
拠点　　　本社

対象部門　S社
ITソリューション部
ERP部
管理本部
拠点　　　本社
東京支社

※対象部門及び拠点を決める際は、適用範囲と連動させることが重要となります。

５．適用範囲は限定したほうが良いのか

⑴適用範囲の限定とは

ISO27001を取得するに当たり、取引先の要望等により適用範囲を自由に決めることができます。

合理的な根拠なく、「取得が容易だから、全社を適用範囲にすると面倒だから。」などという理由で適用範囲を決定することはできません。

⑵適用除外とは

ISO27001は各項番によって要求事項が構成されています。

適用除外することにより当該項番のルールが適用されない状態となります。
項番に対応する業務を行っていない等の理由が適用除外となります。

⑶適用除外が難しいケース

場合によっては適用除外が可能とはいえ、基本は全て適用となります。

先に述べたように合理的な理由がある場合のみ適用除外が可能です。
項番に該当しているにも関わらず「審査が楽になるから。」と言った理由で適用除外することは審査時に不適合が発生する可能性があります。

該当する項番に対して、どのような業務が当てはまるかのかを洗い出す必要があります。

６．コンサル現場で実際に適用範囲についてよくある質問

実際によくある質問と回答を記載します。

⑴他の企業はどんな内容ですか

事業内容をそのまま適用業務として記載されている場合が多いです。
書き方として各業務を箇条書きにし、記載しております。

詳細は、目次３の⑵ISMS適用範囲をご参考にしてください。

⑵登記上の文言と合わせた方が良いですか

合わせないといけないというルールはありません。
結果的に登記簿の文言と似る場合があります。

⑶どこまでの部署を該当させれば良いですか

適用業務に関わる部署を該当させます。

⑷HPの会社概要と合わせた方が良いですか

合わせないといけないというルールはありません。結果的に会社概要の文言と似る場合があります。

⑸実際に行っていない業務も念のため、該当させた方が良いですか

必要ありません。業務がスタートした段階で該当させるか否か検討してください。

まとめ

ISMSの適用範囲ですが、基本は全て適用です。

例外的に項番に関わる業務を行っていない場合は、適用除外が可能です。

また、ISMSへ適用される拠点に関しても、企業内の課題や取引先との要求によって変わります。

範囲を決めるフェーズは取得に向けて最も大切な項目になりますので、改めて会社を見直すよい機会になると推察します。

そういった理由で、あえて入社歴の浅い従業員様がISOの担当者となり、会社を知る場として活用されているケースもあります。

重複しますが、ISMS取得に関して、大切なことは適用範囲を策定し、どの業務がどの項番に該当するか把握することです。
不明点等がありましたら、認証パートナーへお気軽にお問い合わせ下さいませ。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら▶️
• 見積もり依頼はこちら▶️