ISMS認証の審査に関するご質問Q&A

審査に関連するのは、受審企業である皆様の他に、「認定機関」と「審査機関」があります。

ISO27001の認定機関は、審査機関を審査したうえで審査機関として認定する機関であり、実際に皆様の審査を行うのは、その認定された審査機関です。

各国に認定機関があり、そこから認定された審査機関が存在するわけですが、ISO27001の日本の認定機関は、

●一般財団法人日本情報経済社会推進協会（通称JIPDEC）

●公益財団法人日本適合性認定協会（通称JAB）

の２つで、併せて30社近い審査機関が認定されています。ただし、上記2組織に認定された審査機関だけでなく、海外の認定機関に認定された審査機関で受審することも可能です。

まず、複数あるISO27001の審査機関の中から1つを選び、依頼をします。通常は、審査を受審したい時期の3~4カ月前までに審査機関に審査申請することになります。どの審査機関に依頼すればわからない場合は、当社のコンサルティングにてアドバイスいたします。

次に、審査を受審し、不適合の指摘があれば是正し、それを報告します。

第1段階審査は、規格で要求されている文書が存在するかどうかの文書審査が中心です。また、通常は第1段階審査でトップインタビューが実施されます。第2段階審査は、コアメンバー以外の従業者を含めたインタビューと、オフィス等のサイトツアーが中心となります。

審査の種類は、大きく「①初回審査」「②継続審査（定期審査）」「③再認証審査（更新審査）」に分けることができます。特殊な審査としては他に「④拡大審査（適用範囲を拡げる審査）」「⑤移行審査（規格が変わった際の差分審査）」等を挙げることができます。

上記①は最初に認証を取得する際に受ける審査です。③は認証の有効期間が3年であるため、3年毎に受ける審査です。② は、① と ③ の間に毎年最低1回受ける必要が有る審査です。

通常の審査規模は、① > ③ > ② となります。

具体的には、適用範囲やその他のISOの審査状況（他のISOと同時に審査を受けるかどうか等）により、所要時間は変動します。ここで言う適用範囲とは、対象となる業務、従業者数、拠点を指します。当然、適用範囲が広ければ広いほど審査の所要時間も増えていくことになります。

例えば「ソフト受託開発をしている、従業者10人の、本社1拠点の組織」の場合、上記初回審査は、おそらく2～2.5日となりそうです。審査機関によって多少異なります。

なお、初回審査は第1段階と第2段階で構成されており、合計で2～2.5日ということになります。

上記の事例の場合、継続審査は1日、更新審査は1.5～2日といった見込みです。

第1段階審査の内容は、文書審査が中心です。規格で要求されている文書が存在するかどうか、その内容を問われます。また、通常は第1段階審査でトップインタビューが実施されます。

続く第2段階審査の内容は、コアメンバー以外の従業者を含めたインタビューと、上記サイトツアーが中心となります。

ISMS認証取得の審査で不適合になるパターンは、次の場合です。

1. 1. 規格要求を理解できていない／解釈できていない
2. 2. 構築したISMSを運用できていない
3. 3. 規格で要求されている文書が存在しない
4. 4. 法規制を遵守できていない

基本的に不適合の原因を是正しましょう。それを報告して受理されれば、認証取得ができます。ただし、不適合の内容によっては再度現地審査が行われる場合があります。

任意のタイミングで可能です。

審査対象の拡大には、対象となる事業や業務の拡大、対象組織の拡大、対象となる事業所などの物理的な場所の拡大などがあります。いずれにしても、臨時審査の場合は拡大された範囲のみが審査の対象となります。

ただし、定期審査や再認証審査のタイミングで拡大する場合は、当然既存の登録範囲も審査対象となります。