ISMSの取得・運用をアウトソースしても問題ない？委託先の選び方も解説！

ISMSの取得・運用をしたいが忙しくて時間がない・・・」

「人手が足りなくて企業内でISMS専任者を作れない・・・」

こんなお悩みをお持ちの企業様も多いと思います。

そんな企業様におすすめなのがISMSのアウトソースです。

実は、ISMSの取得・運用をアウトソースするのは今や主流になってきています。

初心者の方がいきなりISMSの取得・運用をするのはハードルが高いですが、知識のある委託先に全てお任せすれば正確で企業側の負担がかからなくなります。

本稿ではまずISMSの取得・運用をアウトソースしても本当に問題ないか？という疑問にお答えし、アウトソース先の選び方についても解説いたします。

本稿を読み終えていただければ、初心者の方でも不安を解消でき、企業に合った委託先を選定してアウトソースすることが出来るでしょう。

1.ISMSのアウトソースは認められている

結論からいうと、ISMSの取得・運用で発生する作業をアウトソースすることは認められており、規格要求でも全てを自社内で実施しなければならないという決まりはありません。

実際にコンサル会社のサポートを利用してアウトソースしている組織も多くあります。

しかし、全てを丸投げしてしまって業者任せという事態は避けましょう。

では、実際にどのようなアウトソース方法があるのかを以下で3つご紹介します。

（1）マニュアル作成・修正をアウトソースする

マニュアル作成・修正作業についてはアウトソースして問題ありません。

マニュアル作成・修正を委託すると得られるメリットは、作業時間の削減や内容の精度向上、その後の対応におけるミスの削減などが挙げられます。

しかし、委託先が作成・修正したマニュアルが自社内のルールと食い違っていないかは確認する必要があります。

（2）内部監査をアウトソースする

内部監査についてもアウトソースして問題ありません。

委託先に内部監査員としての力量があれば、委託先のコンサルタントが内部監査員と同じ形で自社内の内部監査を実施できます。

内部監査を委託すると得られるメリットは、客観的、かつ中立な立場で第三者としてISMS運用が出来ているかを見てもらえることです。

また、自社の社員だけでは知りえなかった他社事例や、ISMSの取得・運用をよりよくするためのアドバイスを聞ける良い機会となります。

（3）規格要求事項で必要な文書や記録の作成をアウトソースする

規格要求事項で必要な文書や記録の作成についてもアウトソースして問題ありません。

規格要求事項で必要な文書や記録の作成を委託すると得られるメリットは、（1）で触れた内容と同様ですが、作業工数の削減が最も大きいです。

しかし、文書や記録の作成前に、作成時にはどのようなルールが必要か、文書や記録はどのようなフォーマットにするかなどの事前の意思決定は自社内で行う必要があります。

上記で述べたように、ISMSの取得・運用で発生する様々な作業をアウトソースすることは可能です。しかし、全ての作業を委託先にお任せするのではなく、事前の取り決めや最終的なチェックは自社内で必ず行うようにしましょう。

2.委託先の種類

ISMSの委託先の多くはコンサル会社が主です。

一口に委託先と言っても、ISMSのコンサル会社は大きく以下の2種類に分かれます。

• アドバイス型 コンサル会社
• 運用サポート型 コンサル会社

ここではそれぞれの特徴を紹介します。

(1)アドバイス型 コンサル会社

実際の書類等の作成をするのではなく、主にアドバイスを行うコンサル会社のことです。

実際に作成はしなくても、蓄積された知識や経験を生かした提出書類のひな形を持っていないケースが多いため、提供してもらえる場合はそれを参考に作成すると楽でしょう。

しかし、個人事業主が多く、個人の経験や知識でアドバイスを行うことが多いため、人により情報にバラツキがある可能性があります。また、個人で行っているため当人が体調不良などの際に連絡がつかないケースもあるそうです。

自社内の担当者にある程度ISMSに関する知識があり、書類の作成などの実務は自社で行い、アドバイスが欲しいという場合はこちらを選ぶとよいでしょう。

(2)運用サポート型 コンサル会社

アドバイス以外にも実際に伴走支援を行い運用サポートをするコンサル会社のことです。

ISMS取得・運用の年間計画を一緒に作成し、書類のひな型の提供や作業など、全体的にフォローしてくれる会社が多いです。

個人事業主ではないため、チームでサポートを行います。そのため、担当者に病気や不慮の事故があった際は、他メンバーのフォローが可能でサポートが途切れることが少ないです。

ISMSについて初心者の方、忙しくて書類等の作成まで手が回らない企業様はこちらがおすすめです。

上記のように、委託先により様々なサポート体系が展開されているため、委託先のHPやサービス内容をしっかりと確認し、自社に合ったコンサル会社を選定することが必要不可欠です。

3.委託先への丸投げは避ける

第1章にて、ISMSのアウトソースをする場合でも「全てを丸投げしてしまって業者任せという事態は避けましょう」と説明をいたしました。

それでは、委託先の「運用サポート」と「丸投げ」は何が違うのでしょうか。

ここではその2つの違いについて説明いたします。

（1）運用サポートとは

第2章でも委託先の運用サポートの内容について説明しましたが、コンサルタントが事務局の一員となり、企業様が意思決定した内容を元に文書や記録を作るサポートのことです。

完全に自社内でISMSを取得・運用する場合、日々の主軸業務以外にISMSの取得・運用のための作業が多く発生します。委託先に運用サポートをしてもらえれば、委託先がISMSに関する実務作業を請け負うので、日常業務に専念しやすくなります。

あくまで意思決定や方向性の取捨選択は企業が行い、実務作業やアドバイスを委託先が行うという認識です。

（2）丸投げとは

ISMSに関する方向性の決定から実務作業、運用まで全てをコンサル会社に任せてしまうことです。

100％委託先に任せてしまい、依頼する企業の意図が反映されていない状態のことです。

企業様の中には「取得さえできたらいい、丸投げでお願いしたい」という方もいらっしゃるとは思いますが、丸投げをすると企業の実態にそぐわない構築・運用になってしまう恐れがあります。

自社に合った運用ができない場合、委託したのにも関わらず逆にセキュリティリスクが高まってしまったり、インシデントの発生につながりやすくなってしまったりする恐れがありますので、丸投げは避けましょう。

4.自社にあった委託先の選定方法

今まで述べてきたように、ISMSの取得・運用はアウトソースできますが、委託先のコンサル会社によってサポート体制が異なるため、自社に合った委託先を選定する必要があります。

しかし、「自社に合ったコンサル会社ってどうやって選べばいいの？」と迷われる企業様も多いことでしょう。

そこで、委託先の選定の際は下記7つのポイントに注目してみてください。

• サービスの範囲
• 価格
• スピード感
• 対応できる企業規模
• どんなコンサルタントが在籍しているか
• サービスの専門性
• サービス提供の体制

また、委託先の選定には、技術力や価格だけでなく、委託先のコンサル会社のセキュリティ対策の実施状況を重要な判断基準とする必要があります。

(1)確認すべき項目

• 第三者認証の取得状況

ISMS認証やプライバシーマークを取得しているか。

• 社内体制の整備状況

情報セキュリティポリシーの整備がされているか、セキュリティインシデントの対応実績はどのくらいか、従業員教育の実施状況はどのようなものか

(2)重要度に応じた追加確認項目

• 物理的セキュリティ対策の状況
• アクセス制御の実装状況
• セキュリティ教育の実施頻度

自社に合った委託先のコンサル会社を選定する際は、上記の項目をチェックリスト化し、客観的な評価を行うことが推奨されます。

5.まとめ

今回は、ISMSの取得・運用をアウトソースしても問題ないかという議題について解説しました。

結論から言うと、ISMSの取得・運用で発生する作業をアウトソースすることは認められており、規格要求でも全てを自社内で実施しなければならないという決まりはありません。

ISMSの委託先の多くはコンサル会社が主で、大きく以下の2種類に分かれます。

• アドバイス型 コンサル会社
• 運用サポート型 コンサル会社

自社の状況にあった委託先を選定する必要があります。選定の際は、費用感やサービスの範囲はもちろん、委託先のコンサル会社のセキュリティ対策の実施状況も確認することを推奨します。

また、ISMSのアウトソースをする場合でも全てを丸投げしてしまって業者任せという事態は避けましょう。

企業様の中には「取得さえできたらいい、丸投げでお願いしたい」という方もいらっしゃるとは思いますが、丸投げをすると企業の実態にそぐわない構築・運用になってしまう恐れがあります。

ISMSの取得・運用をアウトソースする際は、自社内の状況にあった選定をし、どこまでお任せするかを協議の上委託しましょう。