１．ISMSの認証機関（審査機関）とは

ISMSの認証機関（＝審査機関）は国内に60社ほど存在しています。

認証機関と聞くとイメージしにくいかもしれませんが、企業の現場へ実際に行き、審査を実施するのが認証機関です。

「審査機関」と呼ぶことも多いです。

２．「認証」と「認定」は実は違う

「認証」とは、ISO27001の規格要求事項に対して合致しているかどうかを認証機関(審査機関)が審査し登録する仕組みを指します。そのため、ISMSを取得・維持する企業は「ISO27001を認定」されているのではなく、「認証」しているという表現が正しいです。

一方、「認定」とは、認証機関の活動が国際的な基準に従い、公平に、透明性をもって行われているかどうかを審査し、
登録することを指します。

そのため認証機関は様々な国ごとに1機関だけ存在する「認定機関」のどこかに認定登録されています。
認証機関を審査することによって、ISMS審査の公平性が担保される仕組みになっています。

日本の「認定機関」はISMS‐ACというところが実施しており、そこに登録する認証機関(審査機関)は約30社ほどになります。
その他、海外から参入した認定機関も国内で活動しているため、多くの認証機関が日本で活動しています。

３．認証機関によって違いはある？比較するべき？

認証機関は、各国に1機関のみ存在する認定機関のいずれかに認定登録されます。

認証機関も認定機関によって国際的な基準に沿っているか審査されるので、審査基準は一定になります。
しかし、そうはいっても国内に約60社ある認証機関にも違いはあります。

認証機関は企業が運営しているため、料金も違えば、その方針も様々です。

最終的なISO27001認証は同じだとしてもそこまでのプロセスが認証機関ごとに違うイメージです。

４．ISMS認証機関の選定が大切な理由

ISO27001（ISMS）の認証取得は、1度認証取得をして終わりという訳ではありません。

有効期間は3年ですが、その間に毎年定期審査が実施され、
マネジメントシステムが継続して運用されているかチェックが入ります。

1年に1度の審査は通常業務を行いながらであれば、あっという間に訪れます。

毎年審査前に大量の準備が必要で、審査後にも宿題が多くやることが増えていくような認証機関にあたってしまうと、それこそ審査自体が相当な負荷となる可能性があります。

今回は、認証機関を選定する3つのポイントを紹介します。

５．認証機関の選定ポイント３つ

　⑴審査費用が適切か

審査費用が適切かどうかを確認する必要があります。

複数の認証機関に相見積もりを取り、審査費用が安すぎないか、高すぎではないかを確認しましょう。

審査費用が安い認証機関と費用が高い認証機関では3倍近くの差が発生する場合があります。

費用が安い認証機関は、審査員への報酬や審査員教育費用の削減などをしている可能性があります。そうなると、どんな審査員にあたるかによって審査の仕方が変わる可能性も考えられます。

安いには安い理由があるので、安いのが全てよいとは言い切れません。

反対に費用が高い認証機関は、人件費のかかる経歴を持つ審査員を抱えていたり、歴史が長いことや審査している企業数が多いという実績をブランド力として、金額を高めに設定していることもあります。

　⑵自社の要望に合わせた対応が可能か

みなさんはどのような審査を希望するでしょうか。

ISO27001は要求事項に基づいて認証をするため、「要求事項が適切に企業のルールに落とし込まれているのか」を重点的に見る方針の認証機関であれば、マニュアルや規程といったルールがきちんとできているのかをチェックする審査になります。

「現場の業務で実施しているルールが重要である」と現場を重点的に見る方針の認証機関であれば、現場ルールを重視し、それが本来のマニュアルや規程に反映できているのかをチェックする審査になります。

「こうやって審査して欲しい」を取り入れてくれる認証機関があれば使いたいですよね。

　⑶スピード

連絡や対応においてスピードは非常に重要です。
例えば、認証機関に見積もりを取って連絡が３日でくるところと、１か月も来ないところでは今後の連絡や対応も不安になります。

審査日程の調整連絡や、新規認証であれば審査後の認証証の到着と、スピードが重要になる場面は多いです。
見積もりをとる際に対応のスピード感も合わせてチェックしておきましょう。

６．ISMS認証機関選定の流れ

まずは見積もりを取ってみましょう。安いところがよいということではありません。安い、高いには必ず理由があります。

審査料金が安いという事は、抱えている審査員への報酬や教育費用を削減している場合もあります。

一定の教育を受けた審査員を抱えるために、ある程度の審査料金を取り、人員を割いて運営しているところもあります。

審査料金が高いという事は、審査員の質を担保していたり、その認証機関の歴史が長く日本国内でもトップである誇り、看板を掲げる価値の部分で高い可能性があります。

ですが、あくまでISOは国際基準です。利用する認証機関によって価値が変わってしまっては意味がないことを再度認識しておきましょう。

高すぎないか、安すぎないかを見るために、相見積もりをとりましょう。

料金をある程度把握した上で、実際に認証機関に来社してもらい、審査の実施方法や認証機関の方針を確認するのも良いと思います。

認証機関の実績や審査の実施方法については、認証機関に聞くよりもその認証機関を実際に使用したことのある他社企業や、知り合い、コンサルタントからの紹介が良いと思います。

７．認証機関一覧の検索方法

すべての認証機関を簡単に調べる方法は実はありません。
ただ、多くの認証機関を探す方法としては下記になります。

国内のISMS認定機関であるISMS-ACのホームページでは、ISMS-AC認定のISMS認証機関を調べることができます。
ISMS認証機関一覧（外部サイト）

もし国外のISMS認定機関から認定された認証機関を調べる場合は、検索サイトから調べていくしか手はありません。

「ISMS　審査機関」「ISMS　認証機関」という検索ワードで調べることで、国内、国外問わずISMSの認証機関を調べられます。

この場合はWebサイトを見ながら調べる必要があるため、調査時間が多くかかる前提で考えていくとよいでしょう。

まとめ

ISMS認証機関選定のポイントは３つで、①審査費用が適切か②自社の要望に合わせた対応が可能か③対応のスピード、です。
押さえるべき3つのポイントを理解してから、認証機関を選定しましょう。

とは言っても数ある認証機関からどうやって選ぶべきか、見積もりは自社で取るのか等
決めにくいことも多いと思います。

ぜひ弊社コンサルタントと一緒に、ISMS認証機関を決めてみませんか。
おそらく自分では探すことができない自社に合った認証機関もご紹介できるかもしれません。
認証機関を含めて、認証や運用のサポートも実施させていただきます。