ISMS認証を取得したことで安心してしまい、その後の維持・更新について十分に理解していないケースは少なくありません。しかし、ISMS認証は「取得して終わり」ではなく、更新を前提に維持し続ける制度です。更新とは、3年に1回の再認証審査のことを指しますが、その前提として毎年実施される維持審査の積み重ねが不可欠です。維持・更新の流れを理解しておかないと、審査直前になって慌てることになりかねません。本記事では、ISMS認証を維持し、更新するまでの流れを時系列で解説します。
目次
ISMS認証制度の全体像(更新までの流れ)
ISMS認証は、3年を1サイクルとする制度として設計されています。初回審査で認証を取得した後、1年目と2年目にそれぞれ維持審査(サーベイランス審査)を受け、3年目に再認証審査を受けることで、新たに3年間の認証が継続されます。この流れは「初回審査 → 維持審査(1年目)→ 維持審査(2年目)→ 再認証審査(3年目)」という形で繰り返されていきます。
年1回の審査は、単なる形式的なチェックではありません。それぞれの審査は、日常のISMS運用(PDCA)が回っているかを確認する場として位置づけられています。つまり、内部監査を実施しているか、マネジメントレビューが行われているか、リスクアセスメントが更新されているか、是正処置が適切に行われているかといった、運用の実態が問われるのです。
維持審査と再認証審査は、どちらも年次審査という点では共通していますが、その役割と審査範囲には明確な違いがあります。維持審査は直近1年間の運用状況を中心に確認するのに対し、再認証審査は過去3年間の運用実績全体を対象とします。ここで重要なのは、更新は単独のイベントではなく、3年間の運用の結果であるという点です。日常の運用がしっかりしていれば更新はスムーズに進みますが、PDCAが形骸化していると、再認証審査で一気に負荷が高まることになります。
維持審査と再認証審査の違いと役割
維持審査(サーベイランス審査)
維持審査は、認証取得後の1年目と2年目に実施される年次審査です。その主な目的は、直近1年間の運用状況を確認することにあります。初回審査ですでにISMSの仕組みが適切に構築されていることは確認済みですので、維持審査では「その仕組みが継続的に運用されているか」が重点的にチェックされます。
維持審査の対象範囲は、初回審査と比べて限定されることが一般的です。すべての部署やプロセスを網羅的に確認するのではなく、重要な業務領域や前回の審査で指摘があった箇所、運用上リスクが高いと判断される部分などがサンプリングされます。そのため、審査工数は初回審査よりも軽い傾向にあります。ただし、情報セキュリティ上重要な業務や部署については、毎回の維持審査で継続的に確認されることが多い点には注意が必要です。
審査では、内部監査が計画どおり実施されているか、マネジメントレビューで経営層がISMSの状況を確認しているか、リスクアセスメントが定期的に見直されているか、発生した不適合に対して是正処置が適切に行われているかなど、PDCAサイクルが回っていることを示す証拠が求められます。これらの記録が整備されていない場合、不適合として指摘を受ける可能性があります。
再認証審査(更新審査)
再認証審査は、3年に1回実施される更新そのものの審査です。これは、ISMS認証の有効期限を新たに3年間延長するための審査であり、維持審査とは位置づけが大きく異なります。
再認証審査の最大の特徴は、その対象範囲の広さです。維持審査が直近1年間の運用を中心に確認するのに対し、再認証審査では過去3年間の運用実績全体が審査対象となります。この3年間でISMSがどのように運用されてきたか、PDCAサイクルが継続的に回っていたか、組織の変化や事業環境の変化に応じてISMSが適切に見直されてきたかといった点が、総合的に評価されます。
そのため、再認証審査の工数は初回審査と同程度になることが一般的です。場合によっては、認証範囲の拡大や組織体制の大幅な変更があった場合、初回審査以上の工数がかかることもあります。審査では、複数の部署や拠点が対象となることが多く、3年間の運用実績を総合的に確認するための十分な時間が確保されます。
ここで重要なのは、日常的にPDCAを回していれば、再認証審査の負荷は大きく軽減されるという点です。毎年の維持審査で適切に運用状況を確認し、必要な改善を行ってきた組織にとって、再認証審査は「3年間の運用実績を総まとめする場」に過ぎません。一方、形式的な対応に終始し、実質的な運用がおろそかになっていた場合、再認証審査の直前になって大量の記録を整備しなければならず、組織に大きな負担がかかります。
再認証審査をクリアすると、新たな認証書が発行され、認証の有効期限がさらに3年間延長されます。この時点で、次の3年間のサイクルが開始されることになります。
成熟度に応じた審査観点
維持審査や再認証審査において重要なのは、セキュリティ体制の成熟度が上がるにつれて、審査の観点も鋭く深いものになっていくという点です。組織は自身のレベルに応じて、改善活動を適切に深化させていく必要があります。
認証を取得して間もない時期は、各種施策を計画どおり実施しているか、記録が残されているかといった基本的な実施事項の確認が中心となります。例えば、BCP訓練であれば、「年1回訓練を実施しているか」「参加者や実施内容が記録されているか」といった点が確認されます。
しかし、認証取得から数年が経過し、組織の運用が成熟してくると、審査員の視点は変化します。同じBCP訓練でも、「訓練の内容が実際にセキュリティレベル向上に寄与しているか」「訓練から得られた改善点を抽出しているか」「その改善点をセキュリティ体制の強化に繋げられているか」といった、より本質的な運用の質が問われるようになります。
つまり、「やっている」というレベルから、「効果的にやっている」「継続的に改善している」というレベルへと段階的に高めていくことが求められるのです。この成熟度の向上こそが、形式的な認証維持ではなく、実質的な情報セキュリティ強化につながる道筋となります。
更新の流れに影響する変更・インシデント対応
ISMS運用中には、組織の状況や事業環境の変化に応じて、さまざまな変更が発生します。これらの変更は、場合によっては更新の流れに大きな影響を与えることがあるため、適切に管理する必要があります。
認証機関への報告が必要となる主な変更としては、拠点の移転や新規拠点の追加、認証対象業務の拡大や縮小、組織体制の大幅な変更などが挙げられます。これらの変更は、ISMSの適用範囲や認証の前提条件に影響するため、認証機関に事前または速やかに報告することが求められます。報告を怠ると、認証の有効性に疑義が生じる可能性があります。
変更の内容やタイミングによっては、通常の維持審査とは別に特別審査が実施されることがあります。特別審査は、変更によってISMSの有効性が損なわれていないか、新たなリスクが適切に管理されているかを確認するために行われます。例えば、新規拠点を認証範囲に追加する場合、その拠点でのISMS運用状況を確認するための審査が実施されます。
また、重大な情報セキュリティインシデントが発生した場合には、更に慎重な対応が求められます。重大なインシデントとは、大規模な情報漏えい、システムへの不正アクセス、ランサムウェア被害など、組織の情報セキュリティ体制に重大な影響を及ぼす事象を指します。
このようなインシデントが発生した場合、組織には認証機関への報告義務があります。報告を受けた認証機関は、インシデントの内容や対応状況を確認し、必要に応じて認証の一時停止を判断することがあります。認証停止は、組織にとって大きなダメージとなりますが、これは罰則ではなく、ISMSが適切に機能していない状態での認証継続を避けるための措置です。
認証が停止された場合、組織はインシデントの原因究明と是正処置を実施し、その後、認証機関による審査を受ける必要があります。審査で、ISMSが再び適切に機能していることが確認されて初めて、認証停止が解除されます。このプロセスは、組織が更新に耐えうる状態へ戻るための必要なステップであり、適切に対応することで、その後の維持・更新を円滑に進めることができます。
変更やインシデントへの対応で重要なのは、隠蔽せず、早めに認証機関へ相談することです。問題を先送りにすると、後の審査で発覚した際に、対応が不誠実であったとみなされ、より厳しい措置につながる可能性があります。透明性を保ち、適切なコミュニケーションを取ることが、結果的に組織の信頼性を高めることになります。
まとめ
ISMS認証の更新は、審査の直前に対策を講じれば何とかなるというものではありません。更新は、日常のISMS運用の結果であり、3年間にわたる継続的な取り組みの集大成です。この認識を組織全体で共有することが、スムーズな更新への第一歩となります。
毎年の維持審査を真摯に受け止め、指摘事項に対して適切に改善を行い、PDCAサイクルを着実に回していくことで、再認証審査の負荷は大きく下がります。維持審査を「形式的にクリアすればよい」と考えるのではなく、「組織のセキュリティレベルを確認・向上させる機会」として活用することが重要です。
組織の変更や重大なインシデントが発生した場合は、隠さず、早めに認証機関へ相談しましょう。認証機関は敵ではなく、ISMSの適切な運用を支援するパートナーです。早期に相談することで、適切なアドバイスを受けられ、問題の拡大を防ぐことができます。
ここまで見てきたように、ISMS更新を最も楽にする方法は、日常的にPDCAを回し続けることに尽きます。内部監査を形骸化させず、マネジメントレビューで実質的な議論を行い、リスクアセスメントを定期的に見直し、不適合が発生したら速やかに是正する。こうした地道な取り組みの積み重ねが、更新時の負担を最小化し、組織の情報セキュリティレベルを実質的に高めることにつながります。
自社だけでの対応が難しいと感じる場合は、外部のコンサルタントや支援サービスを活用する選択肢もあります。特に、初めての更新を迎える組織や、組織体制が大きく変わった後の更新では、専門家のサポートが有効です。自社の状況に応じて、適切なリソースを活用しながら、ISMS認証を継続的に維持していきましょう。








