【失敗しない】ISMS認証機関の選び方！重要な4つのポイントを解説

ISMS認証を受けるためには、認証機関（審査機関）による審査が必須です。ISMSの認証機関（審査機関）は国内に60社ほど存在します。

しかし、
「どの認証機関を選べばよいかわからない」
「自社にあった認証機関を選ぶ方法は？」
「信頼できる認証機関はどのように判断したらいい？」

とお悩みの企業様もいらっしゃるのではないでしょうか。
この記事では、選定した認証機関とのミスマッチを防ぐために、失敗しない4つの重要ポイントを解説します。

1.ISMSの認証機関（審査機関）とは

ISMSの認証機関とは、組織のISMSが国際規格であるISO27001の要求事項を満たしているかどうかを、公平な第三者の立場で審査し、認証する機関です。「審査機関」と呼ばれることもあります。

ISMS認証を取得するためには、まずこの認証機関に審査を依頼し、自社のISMSが国際基準に適合していることを証明してもらう必要があります。

認証機関による審査は、文書審査と、実際の運用現場で行われる現地審査の二段階で構成されるのが一般的です。

⑴認証機関と認定機関の違い

■認証機関

ISMSの認証機関は先述の通り、ISO27001の要求事項に沿ったISMSを構築・運用できているかの「審査」を行う機関です。

具体的には、企業のISMS文書のレビューや、現場での審査（現地審査）を行い、基準を満たしていれば認証書を発行します。

■認定機関

一方、認定機関は、その認証機関が公正かつ信頼性の高い審査を行える能力があるかを評価し、「認定」を与える機関です。

認定機関は、認証機関の審査体制、公平性などを厳しく審査します。審査を通り認定されることで、認証機関の信頼性が担保されます。

日本では、一般社団法人情報マネジメントシステム認定センター（略称：ISMS-AC）がISMS認証における代表的な認定機関です。

ISMS認証を取得する際は、その認証機関が信頼できる認定機関から認定を受けているかを確認することが重要です。

2.ISMS認証機関の選び方で失敗しないための4つのポイント

ISMS認証を取得する際、どの認証機関を選ぶかによって、その後のスケジュールや費用に大きく関わる可能性があります。

「どの認証機関も同じだろう」と考えてしまいがちですが、それぞれの機関には独自の強みや方針があり、自社に合わない機関を選んでしまうと、想定外のコストや手間が発生するリスクがあります。

以下の4つのポイントに注目して選びましょう。

1. 審査費用が適切か
2. 自社の要望に合わせた対応が可能か
3. 対応スピード
4. ISMS-ACが認定した認証機関であるか

⑴審査費用が適切か

まず、審査費用が適切かどうかを確認する必要があります。

複数の認証機関に相見積もりを取り、審査費用が安すぎないか、高すぎではないかを確認しましょう。

審査費用が安い認証機関と費用が高い認証機関では3倍近くの差が発生する場合があります。

費用が安い認証機関は、審査員への報酬や審査員教育費用の削減などをしている可能性があります。そうなると、どんな審査員にあたるかによって審査の仕方が変わる可能性も考えられます。安いには安い理由があるため、安いのが全て良いとは言い切れません。

反対に費用が高い認証機関は、人件費のかかる経歴を持つ審査員を抱えていたり、歴史が長いことや審査している企業数が多いという実績をブランド力として、金額を高めに設定していることもあります。

⑵自社の要望に合わせた対応が可能か

審査機関によって、重視する点は異なります。事前に審査機関の情報収集を行うことが重要です。

例えば、「要求事項が適切に企業のルールに落とし込まれているのか」を重点的に見る方針の認証機関であれば、マニュアルや規程といったルールがきちんとできているのかをチェックする審査になります。

「現場の業務で実施しているルールが重要である」と現場を重点的に見る方針の認証機関であれば、現場ルールを重視し、それが本来のマニュアルや規程に反映できているのかをチェックする審査になります。

Webサイトで確認する際は、特に以下のポイントに注目してみましょう。

「導入事例」や「お客様の声」を確認する

実際に審査を受けた企業のインタビュー記事などで、「自社の業務を深く理解してくれた」「形式的な指摘ではなく、業務改善につながるアドバイスをもらえた」といった感想が多い場合は、現場や運用を重視する傾向があります。

「審査方針」や「代表挨拶」の確認

機関のコンセプトとして「経営への貢献」「ビジネスパートナー」といった言葉を強調している場合は、現場の実情に寄り添う審査を行う可能性が高いです。一方で「厳格な審査」「コンプライアンスの徹底」を強く打ち出している場合は、ルールや規程を厳密にチェックする傾向にあると推測できます。

このように、Webサイトに掲載されている情報から、その機関が何を大切にしているかを読み取ることができます。

⑶対応スピード

認証機関を選ぶ上で、対応スピードは非常に重要です。

例えば、見積もり依頼への返信が3日以内で来る認証機関と、1ヶ月経っても来ない機関があったとしたら、その後のやり取りに不安を感じませんか？

審査日程の調整や、無事に審査を終えた後の認証書の到着など、スピードが求められる場面は多々あります。対応が遅いと、認証取得のスケジュール全体に遅れが生じ、余計な手間やコストが発生する原因にもなりかねません。

そのため、見積もりを依頼する段階で対応スピードを見極めておくことをお勧めします。

⑷ISMS-ACが認定した認証機関であるか

ISMS認証を行う審査機関には、日本の情報マネジメントシステム認定センター（ISMS-AC）から認定を受けている機関と、そうではない機関があります。

ISMS-AC認定の認証機関を選ぶ主なメリットは以下の3点です。

• 質の高い審査を受けることができる
  ISMS-ACの審査基準をクリアした審査を受けることが出来ます。これにより、国際基準を満たした審査を受けたという付加価値を得ることが出来ます。
• ISMS-ACのシンボルマークが使用可能
  認証書にシンボルマークを掲載することで、対外的な信頼性を高められます。
• ISMS認証取得組織検索に掲載される
  ISMS-ACの公式サイトで、認証を取得した企業として検索対象になります。これにより取引先が公式サイトで検索できるようになり、信頼性や認知度の向上につながります。

ただし、ISMS-ACの認定を受けていないからといって、信頼性がないというわけではありません。

ISMS-ACの認定を受けていない機関であっても、海外の信頼できる認定機関から認定を受けている場合が多くあります。

3.ISMSの認証機関を選定する流れ

ISMSの認証機関を選定〜認証取得までの流れは、一般的に以下の通りです。

⑴見積もり依頼を取る

まず、複数の認証機関に相見積もりを依頼します。

この段階で、費用だけでなく、対応スピードや担当者のコミュニケーション能力なども合わせてチェックすることが重要です。

■見積もり依頼時に伝えるべき内容例

• 組織の概要（会社名、所在地）
• 従業員数
• ISMSの対象範囲（認証を取得する事業所や部署など）
• 希望する認証取得のスケジュール

■見積書で確認すべき項目例

• 初回審査費用（文書審査、現地審査の費用）
• 維持審査費用（毎年発生する費用）
• 特別審査費用（必要に応じて発生）
• 審査員の交通費・宿泊費
• 認証登録料

⑵契約と審査の準備

見積書の内容を確認し、内容に問題がなければ正式に契約を締結します。

契約後、認証機関と協力して審査の準備を進めます。

■審査準備の主な流れ

①審査スケジュールの確定：認証機関の審査員と日程調整を行います。
②審査範囲の確認：文書審査と現地審査の対象となる部署や拠点を最終確認します。
③ISMS文書の提出：規定やマニュアルなどのISMS関連文書を、審査員に事前送付します。

⑶審査を受ける

審査は、一般的に「一次審査（文書審査）」と「二次審査（現地審査）」の2段階で実施されます。

■一次審査（文書審査）

提出したISMS文書が、ISO27001の要求事項を満たしているかを確認します。

この段階で不備が見つかった場合は、改善指示を受けます。

■二次審査（現地審査）

審査員が実際に事業所を訪問し、ISMSが文書通りに運用されているか、従業員への周知が徹底されているかなどを確認します。

インタビュー形式で担当部署や従業員に質問を行い、実態を把握します。

⑷認証取得と運用・維持

審査に合格すると、認証機関からISMS認証書が発行されます。

認証取得後も、ISMSの運用を維持するために、毎年「維持審査」が実施されます。

また3年ごとに「更新審査」が実施されます。

4.ISMSの認証機関の違い

認証機関は、各国に1機関のみ存在する認定機関のいずれかに認定登録されます。

認証機関も認定機関によって国際的な基準に沿っているか審査されるので、審査基準は一定になります。

そうはいっても国内に約60社ある認証機関にも違いはあります。認証機関は企業が運営しているため、料金も違えば、その方針も様々です。

最終的なISO27001認証は同じだとしてもそこまでのプロセスが認証機関ごとに違うイメージです。

5.ISMSの認証機関の検索方法

実は、すべての認証機関を簡単に調べる方法はありません。

ただ、多くの認証機関を探す方法としては、国内のISMS認定機関であるISMS-ACのホームページを利用します。

ISMS-AC認定のISMS認証機関を調べることができます。

ISMS認証機関一覧

もし国外のISMS認定機関から認定された認証機関を調べる場合は、検索サイトから調べていくしか手はありません。

「ISMS　審査機関」「ISMS　認証機関」という検索ワードで調べることで、国内、国外問わずISMSの認証機関を調べられます。この場合は、時間がかかる前提で考えましょう。

6.ISMSのの認証機関は変更可能

ISMSの認証機関（審査機関）を変更することが可能です。

ISMSの認証機関は、約60機関あると言われています。その約60の審査機関のどこでISOを認証してもよく、変更することも可能です。

変更する場合、現在の認証機関へ申し出、及び新しい認証機関への申し込みをする必要があります。

7.まとめ

ISMS認証機関を選ぶポイントは以下の4つです。

• 審査費用が適切か
• 自社の要望に合わせた対応が可能か
• 対応スピード
• ISMS-ACが認定した認証機関であるか

ISMSの認証機関選定〜認証取得までの流れは以下の4つです。

• 見積もり依頼を取る
• 契約と審査の準備
• 審査を受ける
• 認証取得と運用・維持

これらのポイントを抑えることで、自社にあった認証機関を選ぶことができ、審査までの準備もスムーズに行うことができるでしょう。

審査費用が高すぎる、対応が遅いなどミスマッチも防ぐためにも、ぜひこちらの記事をご活用ください。

ISO/Pマークの認証・運用更新を180時間も削減！
認証率100%の認証パートナーが無料問い合わせを受付中！

認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。

経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。

▼認証パートナーが削減できること(一例)

• マニュアルの作成・見直し：30時間→0.5時間
• 内部監査の計画・実施：20時間→2時間
• 審査資料の準備：20時間→0.5時間

認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

認証パートナーに無料で相談する