ISMSを運用する中で、内部監査は「形だけの行事」になってしまいがちな活動のひとつです。しかし、本来の目的は不備を探すことではなく、仕組みを改善し、リスクに強い体制をつくることにあります。
この記事では、ISMS内部監査の考え方から具体的な進め方までを体系的に整理し、実効性のある監査のポイントを解説します。
目次
監査とは
監査とは、組織の活動や仕組みが、あらかじめ定められた方針・手順・基準に従って実施されているかを、客観的に確認するための仕組みです。単にできているかを点検するだけでなく、改善すべき点を明らかにして、組織全体のパフォーマンスを高めることを目的としています。たとえば、アクセス権を年に1回棚卸するルールが策定されており、実際に年1回の棚卸を実施している状況で考えたとき、これだけ見ればルールを遵守しているため問題はありません。しかし、実態として人の異動や入退社が毎月数名発生しているような状況である場合には、年1回ではなく月次での棚卸が推奨されます。このような場合に、頻度の見直しを提案する機会として、内部監査を活用することができます。
マネジメントシステムにおける監査では、ISO(国際標準化機構)が定める ISO 19011(マネジメントシステム監査のための指針)が参考になります。ISO 19011では、監査を次のように定義しています。
監査基準が満たされている程度を判定するために、客観的証拠を収集し、それを客観的に評価するための、体系的で、独立し、文書化したプロセス。
この定義が示すように、監査は体系的で独立した活動であり、主観的な印象ではなく客観的証拠に基づいて判断することが重要です。
また、ここでいう監査基準は、組織が定めた方針やルール、ISO/IEC 27001などの規格を指すことになります。監査ではこの基準に照らして、実際の運用がどの程度適合しているかを確認し、必要に応じて改善の方向性を示します。
さらに、監査といってもその目的や対象によって呼び名やアプローチが異なります。たとえば、財務情報を対象とする会計監査、品質マネジメントシステム(ISO 9001)や環境マネジメントシステム(ISO 14001)を対象とするマネジメントシステム監査などがあります。ISMS(情報セキュリティマネジメントシステム)も同様にマネジメントシステム監査の一種です。他のマネジメントシステム監査と同じく、マネジメントシステムの運用や有効性を確認するための監査であり、個別の技術対策を直接評価するものではありません。
監査の種類
監査は、実施する立場や目的によっていくつかの種類に分けられます。最も一般的な区分は、第1者監査、第2者監査、第3者監査という3つの分類です。
第1者監査(内部監査)
第1者監査は、自社が自社に対して実施する監査のことを指します。組織自身が、自らのルールや基準に従って運用が行われているかを確認し、改善点を洗い出す目的で行います。
ISMSにおける内部監査は、この第1者監査に該当します。
内部監査の結果は、マネジメントレビューに報告され、マネジメントシステム全体の改善に役立てられます。
第2者監査(外部監査・取引先監査)
第2者監査は、顧客や親会社など、取引関係にある組織が実施する監査です。契約や委託に基づき、取引先が要求事項を満たしているか、適切に管理されているかを確認します。たとえば、委託先の情報セキュリティ体制を確認するためにおこなう委託先監査などが該当します。
この監査は近年、信頼関係やサプライチェーン全体のリスクマネジメントの観点から、重要性が高まっています。
第3者監査(認証審査)
第3者監査は、認証機関など、組織から独立した第三者が実施する監査です。ISO/IEC 27001の認証審査や更新審査がこの区分にあたります。独立した立場から客観的に適合性を確認することで、組織が外部に対して信頼性を示すことができます。
この監査は、法的要求や取引上の信頼を得る目的で利用されることが多く、最も公的な性格を持ちます。
監査の目的による分類:保証型と助言型
監査は目的によって、保証型と助言型に分けることができます。
保証型監査は、定められた基準や要求事項に対して組織の活動が適合しているかを確認し、その結果を客観的に示すことを目的とします。認証審査や取引先監査など、第三者または利害関係者に対して、きちんと基準を満たしていると証明する必要がある場合に行われるものです。一番の目的は適合性の確認であり、客観性と公平性が重視されます。
一方、助言型監査は、組織の運用状況を確認しつつ、改善提案や成熟度向上のためのアドバイスをおこなうことを目的としています。内部監査やコンサルティング型監査などがこれに該当します。適合性を確認するだけでなく、運用をより良くするための改善点を引き出すことに重点を置く点が特徴です。
ISMSにおける内部監査は、形式上は保証型監査として実施されることが多いものの、実際には助言型の性質も持ち合わせています。単に基準への適合を確認するだけでなく、実際の運用状況を踏まえて改善の方向性を示すことが、ISMSの継続的改善において重要な役割を果たします。
ISMSでの内部監査
ISMSにおける内部監査は、組織の情報セキュリティマネジメントシステム(ISMS)が、ISO/IEC 27001の要求事項や自社の方針・手順に沿って適切に運用されているかを確認するために実施されます。対象となるのはマネジメントシステム全体の体制と運用プロセスであり、管理策そのものの技術的な有効性や水準を直接評価するものではありません。
たとえば、アクセス制御やバックアップなどの管理策を十分かどうか評価するのではなく、それらが組織の方針に基づき、責任者が定められ、定期的に点検・改善されているかといった仕組みの運用状況を確認するということになります。一定の対策をしていれば問題ない、という考え方ではなく、方針に基づいた運用の仕組みが機能しているかを確認する必要がある点が、ISMS内部監査を難しくしている要因の一つです。
実際に、組織の方針に沿って適切に管理策への対応が行われているかを確認するには、リスクアセスメントの結果とプロセスを確認することが有効です。ISMSでは、リスクアセスメントの活動の中で定めた基準に則りリスクの大きさを評価して対策が必要かどうか決めます。この判断基準が、対策が必要かどうか、対策をしないのはなぜかの根拠になります。そのため、リスクアセスメントが適切に実施されていれば、管理策への対応が一貫性のある判断基準に基づいて判断され、運用されているとみなせる、と監査で判断できるのです。
また、ISMS内部監査では、被監査部門は対象範囲の業務を網羅するよう計画されていなければならないのも特徴です。ISMSの対象範囲が「システムの開発及び販売」となっているにも関わらず、開発部門のみを対象として内部監査をしていれば、販売部門の担当である営業活動や販売業務等をおこなう上で適切にISMSを運用できているかが確認できません。これでは、マネジメントシステム全体に問題がないかが不明瞭であるため、審査の際に指摘を受けてしまうため、計画段階での注意が必要不可欠です。
ただし、販売部門の中で類似する業務をおこなう部署が複数あり、そのうちの1部署のみを対象とすることは問題ありません。これは、対象とした1つの部署が問題なければ、同様の業務をおこなう他の部署も問題ないとみなすサンプリングの考え方に基づいています。
計画段階で、どの部署を対象とすれば効率的かつ網羅的に内部監査を実施できるかを検討しておくことが、スムーズな監査運営のポイントとなります。
監査の流れ
ISMSの内部監査は、単に実施するだけでなく、計画的に準備し、結果を報告・改善につなげることが求められます。ここでは、一般的な内部監査の流れを6つのステップに分けて解説します。
監査員の選任
内部監査を実施する前に、まず監査員を選任します。選任は、監査の客観性を保つために、監査対象となる業務に直接関与していない、独立した立場の人でなければなりません。
また、監査員には監査を実施できるだけの知識と力量が求められます。必要に応じて、内部監査員研修などで教育を受け、内部監査の手法を理解しておくほか、ISO/IEC 27001や組織の情報セキュリティルールについても把握しておくことが求められます。
監査計画の策定
監査員が決まったら、次に監査計画を立てます。
監査計画では、監査の目的・対象範囲・基準・日時・方法などを明確にします。また、被監査部門と事前に調整し、監査で確認すべきポイントや関連する文書(手順書、記録、リスクアセスメント結果など)を共有しておくとスムーズです。
場合によっては、監査前にヒアリングを行い、業務の流れやリスクの所在を把握しておくこともあります。この準備が不十分だと、監査が形式的な確認に終わってしまいます。計画段階での丁寧なすり合わせが、実効性のある監査のポイントとなります。
開始会議
監査当日は、まず開始会議(キックオフ)を実施します。
監査員と被監査部門の関係者が集まり、監査の目的・範囲・進め方・スケジュールなどを確認します。監査の意図を正しく理解してもらうことで、被監査部門が身構えることなく、協力的な雰囲気をつくることができます。
内部監査は責める場ではなく、改善のための機会であるという姿勢を共有することが大切です。
監査の実施
開始会議の後、計画に沿って監査を実施します。
主な方法は、インタビュー・記録の確認・現場の観察です。ISMSの要求事項や組織の規程に基づき、手順通りの運用が行われているか、証拠に基づいて確認します。
監査の中でルールの不遵守や将来的にルールから逸脱する可能性のある状況、さらに改善できる箇所などが見つかった場合には、指摘事項としてまとめる必要があります。この指摘事項は、不適合と改善の機会という2つに大別されます。不適合は、ISO27001の内容を実施できていなかったり、策定しているルールを遵守していなかったりする箇所に対しておこなう指摘です。改善の機会は、不適合以外でセキュリティ上または運用上の懸念や、さらに改善が期待できる箇所に対しておこなう指摘です。
※不適合と是正処置について、こちらの記事で詳しく解説しています。
不適合や改善の機会が見つかった場合は、指摘事項として整理しますが、その場で被監査部門と内容を共有し、事実関係を確認したうえで合意を得ることが重要です。
監査後の認識ずれを防ぐためにも、監査中のコミュニケーションを意識的に図ることが大切です。
終了会議
すべての監査が終了したら、監査員と被監査部門で終了会議(クロージング)を行います。
ここでは、監査で確認した内容や指摘事項を共有し、重大な不適合がある場合はその場で是正対応の方向性を確認します。この会議は、監査結果の「すり合わせ」の場であり、被監査部門にとっても、どの点が評価され、どの点が改善対象となったのかを理解する機会となります。
監査報告とフォローアップ
監査終了後は、監査結果を監査報告書としてまとめます。
報告書には、監査の目的・範囲・実施日・監査員名・確認事項・指摘内容などを記載します。監査員は報告書を情報セキュリティ責任者(またはマネジメントレビュー担当)に提出し、必要に応じて、是正処置の実施状況をフォローアップします。
このフィードバックを改善につなげることで、ISMSの根幹である継続的改善(PDCA)を支えることになります。
内部監査は、単に不備を見つける活動ではなく、組織の仕組みを改善し、リスクに強い体制をつくるための重要な機会です。監査責任者や監査員には、計画・実施・報告という一連の流れを通じて、マネジメントシステムの成熟度を高めていく姿勢が求められます。
まとめ
監査と一口にいっても、その形態はさまざまです。実施主体によっては第1者・第2者・第3者に分かれ、目的によっては保証型と助言型に分類されます。ISMSの内部監査は一般的に第1者監査かつ助言型監査にあたり、監査結果をもとに被監査部門へ改善提言をおこなうことで、ISMSの改善プロセスを促進する重要な役割を担っています。
ISMSの内部監査は、単に規格に適合しているかを確認するための点検作業ではありません。組織が定めた方針やルールに基づいて情報セキュリティが適切に管理されているかを確かめ、改善につなげるための仕組みです。監査を通じて明らかになるのは、ルール違反や不備だけではなく、運用が十分に機能していない部分や、現場の課題が見えにくくなっている部分でもあります。内部監査は、そうした気づきを得るための貴重な機会であり、組織のリスク対応力や仕組みの成熟度を高めるために欠かせないプロセスです。
効果的な監査を実施するためには、監査員自身が監査に必要な知識と力量を高めることが重要です。ISO/IEC 27001の要求事項を理解していることはもちろん、監査の進め方や質問の仕方を学ぶために、外部の監査員研修などに参加するのも有効です。単なる指摘ではなく、改善のきっかけを生み出す監査を目指すことが求められます。
そのような監査の積み重ねが、組織のISMSの成熟度を高め、セキュリティ体制をより強固にしていくことにつながります。








