ISMS更新とは、取得した認証を有効に保つために、定期的な審査を受けて認証を継続していく手続きです。ISMS(ISO/IEC 27001:2022(以下、ISO/IEC 27001)という国際規格にもとづく情報セキュリティの管理の仕組み)の認証には有効期限があり、何もしないまま放置すれば失効してしまいます。
混同されやすい「維持審査」と「更新審査」の違い、準備する書類、審査当日の流れ、費用目安、そして規格が改訂されたときの移行審査。この記事ではこれらを整理し、注意点やISMSの運用・更新を担う実務担当者が抱きやすい疑問にも触れていきます。
ISMS認証は3年ごとに更新審査が必要
ISMS認証の有効期限は、原則として3年です。この3年をひとつのサイクルとし、1年目と2年目に「維持審査」、3年目に「更新審査」を受けます。更新審査に合格すれば、認証はさらに3年間続きます(※1)。
注意したいのは、認証は取得して終わりではないという点です。毎年の審査に備え、内部監査やマネジメントレビューをはじめとする運用活動を日常的に継続することが前提です。「3年間は何もしなくてよい」という誤解は禁物で、認証を保ち続けること自体が取引先や顧客への情報セキュリティの姿勢を示すメッセージにもなります。
ISMS(ISO/IEC 27001)とは
ISMSは Information Security Management System の略です。組織が情報を守るための方針・ルール・運用を、一体で管理する仕組みを指します。その国際規格がISO/IEC 27001です。この規格に適合していると第三者機関(審査機関や認証機関とも呼ばれます)が確認したものが、ISMS認証です。
なお、組織を審査して認証するのが「認証機関(審査機関)」で、その認証機関が適切に審査できるかを認定するのが「認定機関」です。国内の認定機関はISMS-AC(一般社団法人情報マネジメントシステム認定センター)です。
ISMS更新の3年サイクル
審査のタイミングは、取得(または前回更新)からの経過年で決まります。認証登録のあとは通常1年ごとにサーベイランス(維持審査)があり、再認証(更新審査)は3年ごとです(※1)。毎年の審査をバラバラのイベントと捉えず、3年で1周する運用サイクルの一部とみなすと、準備の見通しがぐっと立てやすくなるはずです。
※1 ISMS/ITSMS/BCMS/AIMS認証を取得するには|一般財団法人 日本情報経済社会推進協会
ISMS更新審査と維持審査の違い
更新審査と維持審査は、目的も確認範囲も異なります。維持審査は、運用が続いているかを要点にしぼって見る審査。一方の更新審査は、認証を更新してよいかを判断する、より広く深い審査です。
| 項目 | 維持審査(サーベイランス審査) | 更新審査(再認証審査) |
|---|---|---|
| 頻度 | 少なくとも年1回(1・2年目) | 3年に1回(3年目) |
| 主な目的 | 運用が続いているかの確認 | 認証を更新してよいかの判断 |
| 確認範囲 | 要点をしぼって確認 | 適用範囲・要求事項の全体を精査 |
| 審査の規模 | 取得審査より小さい | 取得審査に近い |
| 指摘への対応 | 軽微な不適合は次回までに是正を確認 | 不適合を是正しないと更新できない場合がある |
どちらの審査でも、審査員から指摘が出ることがあります。指摘は大きく2種類。是正が必要な「不適合」と、将来の改善を促す「観察事項」です。観察事項のほうは対応必須ではなく、組織の判断で保留してもかまいません。ただし、同じ観察事項を放置し続ければ、次回の審査で不適合と判断されることもあります。
ISMSの認証審査は、その土台となる国際規格ISO/IEC 17021-1と、ISMSに固有の追加要求を定めたISO/IEC 27006にもとづいて行われます(※2)。不適合はさらに、重大不適合と軽微不適合に分かれます。重大不適合は仕組みの根幹にかかわる欠陥で、期限内に是正できなければ認証の一時停止や失効につながりかねません。軽微不適合は部分的な不備で、期限内に是正を報告すれば認証は維持できます。多くの場合は是正の期間が与えられるので、指摘イコール即失効というわけではありません。ただし、具体的な是正期限は、不適合の重大度や認証機関の規定によって異なります。
更新と維持の違いで混同しやすい点
よくあるのが、「維持」と「更新」を同じものと捉えてしまう混同です。たしかに両者は、毎年の審査で認証を保つ(維持する)という大きな目的を共有しています。しかし、審査の名称も頻度も厳しさも別物です。実務では、毎年受ける軽めの審査が維持審査、3年目の本格的な審査が更新審査、と覚えておくと取り違えません。
※2:一般財団法人日本情報経済社会推進協会│「FAQ1:制度一般(ISMS)」
規格改訂時に必要な移行審査と更新の関係
更新を考えるとき、つい抜け落ちがちなのが、規格そのものが改訂されたときの対応です。維持審査・更新審査とは別に、改訂内容へ対応する「移行審査」が必要になることがあります(※3)。見落とされやすいポイントなので、ここで先に押さえておきます。
ISO規格は定期的に見直される
ISO/IEC 27001のような国際規格は、技術や社会の変化に合わせ、おおむね5年ごとに見直されます。ただし、見直しの結果は「現状維持・改訂・廃止」のいずれかで、必ず改訂されるわけではありません。直近では2022年10月にISO/IEC 27001:2022が発行され、2025年10月31日が旧規格(ISO/IEC 27001:2013)からの移行期限となりました。すでに認証を継続している組織は、この期限までに新規格への移行審査を完了しているはずです。
過去の移行と、次回改訂時に備えるべきこと
2022年版の移行は2025年10月末で終了しましたが、ISO規格は定期的な見直しを経て改訂されることがあるため、今後の改訂時にも同様の移行対応が必要になります。改訂があった場合は、維持審査または更新審査と同じタイミングで移行審査を受けるのが一般的です(※3)。次回の改訂に備えるには、規格の改訂・追補の情報を、ISMS-ACや認証機関から継続的に把握できる体制を持っておくと安心です。
このとき審査員が見るのは、最新版の規格に沿ってマネジメントシステムが組み直され、PDCAが実際に回っているかどうか。文書を差し替えただけでは足りず、運用の実態まで確認されます(※4)。
移行期限を過ぎた場合の影響
移行期限内に最新版へ対応できなければ、現行の認証は失効します。失効後は、後述する新規取得と同じ手順で審査をやり直すことになります。ISO/IEC 27001:2022への移行を完了できず、2025年10月末以降に認証失効した組織は、新規取得の手続きから始める必要があります(※3)。
気候変動への配慮など、共通要件の追加にも注意
ISOのマネジメントシステム規格には、「気候変動が自社に関連する課題かどうか」を検討するよう求める追補が加わりました。といっても、環境活動を義務づけるものではありません。自社の課題として検討し、その結果を記録に残しているか、審査で見られるのはそこです(※5)。
※参考:
※3:情報マネジメントシステム認定センター│ISMS適合性評価制度 ISO/IEC 27001:2022 への対応について(更新版)
※4:一般財団法人日本情報経済社会推進協会│「講演レポート ISMS適合性評価制度におけるISO/IEC 27001:2022への対応について」
※5:情報マネジメントシステム認定センター│「マネジメントシステム規格への気候変動に係る追補版発行について」
ISMS更新審査までの逆算スケジュール
準備は、有効期限から逆算して始めると慌てずに済みます。下表はあくまで一般的な目安で、規格が定める必須スケジュールではありません。それでも、審査機関への連絡は有効期限のおよそ半年前、日程調整はその後すみやかに、を基準にしておくと動きやすいはずです。
準備の柱は、内部監査とマネジメントレビューの2つです。内部監査は自社で自社の運用をチェックする活動、マネジメントレビューは経営層が運用状況を評価し方針を示す活動です。いずれもISO/IEC 27001が定期的な実施を求めており、記録がなければ審査で必ず指摘されます。ここは早めに動きたいところです。
| 時期の目安 | やること |
|---|---|
| 有効期限の約半年前 | 審査機関へ更新審査の連絡・申し込みをする |
| 連絡後すみやかに | 審査日程を調整し、対応者のスケジュールを確保する |
| 約2〜3か月前 | 内部監査を実施し、見つかった不備を是正する |
| 約1か月前 | マネジメントレビューを実施し、前回指摘事項の対応を確認する |
| 審査直前 | 過去3年分の記録を最終確認し、想定される質問を関係者で共有する |
内部監査では、規格の要求事項と自社のルールが守られているかを、担当部署ごとに点検していきます。指摘が出たら、原因を分析し、是正した記録まで残す、ここまでが審査の確認対象です。形式的なチェックで終わらせず、改善につなげた証拠まで用意しておきたいところです。
内部監査の結果はマネジメントレビューのインプットになるため、両者は「内部監査 → マネジメントレビュー」の順で行うのが原則です。
マネジメントレビューは、内部監査の結果やインシデントの状況、目標の達成度を経営層が確認し、次年度の方針や必要な資源を決める場です。会議の議事録や決定事項を残しておけば、審査でそのまま証拠として使えます。
なお、これらの記録は審査直前にまとめるものではなく、日常的に残しておくものです。直前の最終確認がラクになるのは、日々記録を積み重ねているからこそです。
ISMS更新審査で準備する書類(過去3年分)
更新審査で問われるのは、ISMSが過去3年間、規格どおりに運用されてきた証拠です。
求められる記録は、いずれもISO/IEC 27001が作成・保持を求めているもの。柱になるのは、情報セキュリティ目標とその管理の記録、内部監査の記録、マネジメントレビューの記録の3つです。これに加えて、教育・訓練の記録、リスクアセスメント(情報資産のリスクを洗い出し評価する活動)とその対応の記録、不適合および是正処置の記録も見られます。いずれも過去3年分そろえておくのが基本です(※6)。
必要な記録の種類は維持審査でも同じですが、維持審査でそろえるのは直近1年分が中心です。更新審査では3年分が対象になる点が、両者の大きな違いです。法改正や組織変更で内容が変わった文書については、最新の状態に直っているかも忘れず確認しておきます。記録は作成日や承認者がわかる形にしておくと、審査当日に慌てて探さずに済みます。
※6:一般財団法人日本情報経済社会推進協会│「FAQ1:制度一般(ISMS)」
ISMS更新審査当日の流れ
当日は、組織全体の運用状況がチェック対象になります。進め方は認証審査の国際規格ISO/IEC 17021-1に沿っており、所要日数は適用範囲の広さや従業員数、拠点数しだいで変わります(※7)。細部は認証機関ごとに異なるものの、流れはおおむね共通しています。
スタートはオープニングミーティングです。顔合わせをして、当日の進め方をすり合わせます。続くトップインタビューでは、経営層がISMSへの関与や今後の方針を問われ、そのまま管理責任者へのヒアリングへと移ります。ここで中心になるのは、運用全般と前回指摘事項への対応状況です。
中盤の主役は現場です。審査員が実際の業務現場を回ってルールの順守を確認し、部署別のヒアリングで現場担当者が日常の運用を直接たずねられます。そして最後が、審査の総括とクロージングミーティング。確認結果や不適合・観察事項の有無が共有され、改善に向けた助言で締めくくられます。
トップインタビューや管理責任者へのヒアリングは、回答の方向性を事前に関係者ですり合わせておくと落ち着いて臨めます。現場視察で見られるのは、入退室管理や機密情報の保管、パソコンの設定といった日常の運用そのもの。背伸びした答えより、実際の運用をありのまま説明する姿勢のほうが評価されます。
※7:一般財団法人日本情報経済社会推進協会│「FAQ1:制度一般(ISMS)」
ISMS更新審査・維持審査にかかる費用の目安
審査費用は、審査にかかる工数(人日)と、企業規模・適用範囲でおおよそ決まります(※8)。適用範囲が広く、従業員数や拠点数が多いほど工数は増え、費用もそのぶん上がります。傾向としては、更新審査は取得(登録)審査より安く、毎年のサーベイランス(維持審査)よりは高めです。この感覚を持っておけば、大きく外しません。
ただし、具体的な金額や工数は認証機関や適用範囲によって大きく異なるため、ここでの記載はあくまで一般的な傾向です。正確に把握するなら、複数の審査機関に見積もりを取って比べるのが確実でしょう。なお、この審査費用とは別に、審査員の交通費や宿泊費といった実費が請求されることもあります。
※8:一般財団法人日本情報経済社会推進協会│「講演レポート ISMS適合性評価制度におけるISO/IEC 27001:2022への対応について」
ISMS更新審査で指摘を受けるケースと失効時の対応
更新審査で指摘を受けるケースには、いくつか決まったパターンがあります。いちばん多いのは、内部監査やマネジメントレビューが未実施、あるいは形だけになっているケースです。前回の審査で出た観察事項を放置したまま臨むのも、指摘を呼びやすい典型例です。
具体的には、こんな点がよく挙がります。リスクアセスメントが前年の内容の使い回しで、組織や業務の変化を反映していない。入退社や異動に伴うアクセス権限の見直し(棚卸し)が、記録に残っていない。情報セキュリティ教育は実施したのに受講記録や理解度の確認が足りないなど、いずれも審査員が目を留めやすいところです。
裏を返せば、日常の運用を規格どおりに続けていれば防げるものばかりです。書類だけを直前に取り繕っても、現場の実態が伴わなければ指摘は避けられません。直前の小手先より、毎年の運用を地道に記録へ残しておくこと。それが、更新審査をいちばんスムーズに通すコツです。
認証が失効した場合の手順
更新に間に合わず認証が失効してしまったら、新規取得と同じ手順で審査をやり直すことになります。流れとしては、書類を確認するステージ1審査、続いて現地で運用を確認するステージ2審査です。これをもう一度受ける形です。
失効の影響は、審査だけにとどまりません。認証マーク(ロゴ)が使えなくなり、認定機関の公開登録簿からも削除されます。取引先へ提出した認証情報の訂正が必要になったり、入札条件を満たせなくなったり、と業務にも及びます。再取得には数か月単位の時間と、取得時に近い費用もかかります。こうした負担を避けるためにも、有効期限と審査時期の管理だけは最優先にしておきたいところです。
ISMS更新審査に関するよくある質問
更新審査を受け忘れて期限が過ぎたらどうなりますか?
有効期限を過ぎれば、認証は失効します。
その後の進め方は、前述の「認証が失効した場合の手順」のとおりです。新規取得と同じ審査を受け直すことになります。期限が迫っているのに準備が間に合わないなら、放置は禁物です。まずは認証機関へ早めに相談してください。状況しだいで、取りうる手が変わってきます。
更新審査で不合格になることはありますか?
あり得ます。
認証審査の国際規格ISO/IEC 17021-1の考え方では、重大な不適合が見つかり、期限内に是正できなければ、更新できず登録の停止や失効に至ることがあります(※9)。とはいえ、通常は是正の期間が設けられるので、指摘を受けた瞬間に認証を失うわけではありません。日頃から運用を記録していれば、過度に身構える必要はないでしょう。
審査機関(認証機関)は変更できますか?
できます。
更新のタイミングで見直す組織も少なくありません。ただし変更するなら、審査の引き継ぎや費用・スケジュールの確認は欠かせません。なお、変更してもしなくても、更新に審査と費用が発生する点は同じです。
費用を抑える方法はありますか?
いくつかあります。たとえば、認証の適用範囲が実態に対して広すぎないか見直すことです。
ただし、適用範囲は対外的な信頼の根拠でもあるため、取引先要件や入札条件を満たせる範囲で、実態に合わせて見直すのが原則です。複数のISO規格を取得しているなら、同時審査を検討する。どちらも審査機関への確認が前提です。ただし、安さだけで選ぶと審査の質に響くこともあるので、そこは注意してください。
審査はリモートで受けられますか?
審査機関が「目的を達成できる」と判断すれば、遠隔(リモート)での審査が認められることもあります(※10)。対象範囲や進め方は審査機関の判断しだいなので、希望するなら事前に相談しておくとよいでしょう。
毎年の維持審査をきちんと受けると更新は楽になりますか?
楽になります。
維持審査のたびに記録を整え、指摘をその都度つぶしておけば、更新の年に3年分をまとめて立て直さずに済みます。逆に維持審査を形式的に流していると、更新の年に作業がどっと集中します。毎年の審査は、更新に向けた準備の通過点。そう位置づけて活用するのがおすすめです。
※参考:
※9:一般財団法人日本情報経済社会推進協会:「FAQ1:制度一般(ISMS)」
※10:一般財団法人日本情報経済社会推進協会:「講演レポート ISMS適合性評価制度におけるISO/IEC 27001:2022への対応について」
まとめ:ISMS更新の準備で最初にすべきこと
ISMS更新は、3年を1サイクルに毎年審査を受け、認証をつないでいく手続きです。1・2年目の維持審査と3年目の更新審査の違いを押さえ、過去3年分の記録をそろえる。これが準備の土台になります。加えて、規格改訂時の移行審査まで頭に入れておけば、想定外の事態でも慌てずに対応できるはずです。日常の運用を規格どおりに積み重ねていれば、更新審査は決して身構えるほどの手続きではないでしょう。
一方で、リスクアセスメントの実効性を高めるための脆弱性診断、外部公開資産の継続把握(ASM)、アクセス権限管理の見直しなど、ISMS運用の質を底上げするには技術的な裏付けが欠かせません。ユービーセキュアでは、脆弱性検査ツール「Vex」と専門家による診断サービス、ASMサービス、運用支援を組み合わせて提供しており、ISMS更新審査に向けた継続運用をご支援します。
