ISMS の認証取得を検討してみたものの、実際にどんな流れで認証取得まで進んでいくのか？　手間はどのくらいかかるのか？　そして費用は？　わからないことばかりで、認証取得に踏み出せない方も多いのではないでしょうか。
　当社も ISMS認証取得の検討→見送りを繰り返してきましたが、あるきっかけから昨年2016年5月26日に、約１年をかけて ISMS認証を取得しました。

　そこで今回は、これからISMSの認証取得を検討している方や認証取得の担当者の方向けに、当社の ISMS認証を取得するまでの流れをご紹介したいと思います。この記事が少しでも認証取得のお役にたてれば幸いです。
　「そもそもISMSって何？」とか「会社からいきなり ISMS認証取得の担当者に任命されてしまった！」　という方には「ISMSとは？その仕組みを５分でわかりやすく解説！」の記事もあわせてお奨めします。ぜひ読んでみてくださいね。

ISMSの認証取得を決めたきっかけ

　ISMSの認証取得からさかのぼること1年4ヶ月前、2015年1月株式会社キュービストはポールトゥウィン・ピットクルーホールディングスグループの一員となり、BtoB事業を強化することになりました。
　当時、すでに個人情報の保護を目的とするプライバシーマーク認証は取得していましたが、会社の方向性とプライバシーマーク認証の目的が一致していないことや、取り扱う情報の大部分が個人情報ではなく、お客様からお預かりした機密情報であることから、ISMSの認証取得の検討を始めました。

ISMS認証取得費用と維持費用

　検討を進めた結果 ISMSの認証取得をすることが、キュービストにとってもお客様にとってもメリットがあることはわかりましたが、気になるのは認証取得にかかる費用です。
　当社の場合はプライバシーマーク認証の取得時に、ITのセキュリティ対策（マルウェア対策、UTMの導入など）や、オフィス設備のセキュリティ対策（ICカードによる入退室管理、監視カメラの設置）を実施していましたので、主に次の２つの費用が発生することになります。

・認証費用……………………ISMS認証機関に支払う審査費用など（70万円〜100万円）
・コンサル費用…………ISMSコンサルタント会社に支払う費用（100万円前後）

　審査費用は従業員数や会社の拠点数によって変わりますのであくまで目安としてお考えください。（当時の従業員数85名1拠点）また、コンサルタントをお願いするのはその会社の自由ですので、すべて自社でISMSを構築することができればコンサル費用は発生しません。

　取得次年度以降 ISMS認証は１年ごとのサーベイランス審査（維持審査）と３年ごとに更新審査を受ける必要がありますので、以下の維持費用も発生します。

・サーベイランス審査（30万円〜40万円）
・更新審査（50万円〜70万円）

　審査のサイクルをまとめると次のようになります。

認証取得時　認証審査
１年目　　　サーベイランス審査
２年目　　　サーベイランス審査
３年目　　　更新審査：（以後１年目から３年目を繰り返し）

ISMS認証取得への道のり

社内の承認（認証取得13ヶ月前）

　2ヶ月ほど検討をかさね、2015年3月に幹部会議で ISMSの認証取得が承認されました。認証取得のスケジュールは、プライバシーマークの認証期限の1ヶ月前、2016年5月に設定されました。

コンサルタント会社の決定（認証取得11ヶ月前）

　コンサルタント会社に ISMS認証取得を支援してもらうことにしたので、ISMSの構築をはじめる前に、まずコンサルタント会社の決定が必要でした。ISMSを構築する上でコンサルタントの方が会社の機密情報を見る機会がありますので、基本契約のほかに秘密保持契約（NDA）も締結します。
　当社が契約したコンサルタント会社は、こちらの都合でISMS認証取得のスケジュールが遅延したとしても、認証取得まで追加費用なしでコンサルティングを継続してくれる契約をしていただきました。コンサルタント会社によってこういった条件は変わってきますので、契約前にしっかり確認しておきましょう。

ISMS認証取得プロジェクトスタート（認証取得10ヶ月前）

　2015年7月2日、ISMS認証取得プロジェクトがスタートしました。コンサルタントの方からはじめにご提示いただいたのは、ISMS認証取得までの詳細なスケジュールです。

　スケジュールをざっくり大きく区切ると次のような流れになります、基本的にこの順番を変えることはできません。

ISMS文書の作成
↓
情報セキュリティ教育の実施
ISMS運用開始
↓
内部監査
↓
マネジメントレビュー
↓
認証機関による審査
↓
認証取得

　また、ISMSの構築には各部門の協力が必要です。各部門長をメンバーとした情報セキュリティ委員会の会議（毎月１回）を始めたのもこの頃でした。

ISMS文書の作成（認証取得10〜7ヶ月前）

　ISMS構築の前半は、情報セキュリティ方針や計画、各種マニュアルなどの作成が主になります。コンサルタントの方から頂いた50ファイルほどある ISMS文書の雛形を元に、自社で運用しやすいように修正していきます。

　ISMS文書は大量なうえに規格独特の用語や言い回しがあるので、修正するだけでも大変です。しかも ISMS規格要求事項を満たすように修正する必要があります。不慣れな作業のため、数々の失敗もありましたが、参考までにいくつかご紹介します。

＜ISMS文書の雛形にしっかり目を通していなかった＞

　ISMS文書のなかでも、運用の要となる「管理策運用マニュアル（附属書A）」はページ数が多く、かなり細かいセキュリティルールが書かれています。ひととおり読んである程度は修正しましたが、実際の運用と異なる部分があり、本審査で不適合にはならなかったものの「改善の余地」として指摘されました。

＜ISMS文書を作成する順番を考慮しなかった＞

　ISMS文書は他の文書のインプットとなるものがあります。多くの文書のインプットとなる「4 組織の状況」に関する文書をはじめに作成すべきなのですが、よくわからないので後回しにしてしまい、インプットを受けてから作成する文書を先に作成しました。とうぜん文書間のつじつまが合わなくなってしまい、作り直すことになってしまいました。
　「4 組織の状況」で出された要求や課題は、情報セキュリティ目的や計画に大きく影響しますので、各部門にヒアリングしてじっくり作成することをオススメします。

審査機関との契約（認証取得6ヶ月前）

　認証機関は自由に選ぶことができますので、費用の見積を取寄せたり、どの認証機関が自社に合っているかなど検討する時間が必要になります。ISMS構築の忙しい時期と重なるので、少し早めに検討を進めておくのが良いようです。
　当社ではコンサルタントの方のすすめもあり JACO（日本環境認証機構）様と2015年11月に ISMS審査登録契約を締結しました。同じ時期に審査機関の方と打ち合わせをして、本審査までのスケジュールが次のように決定しました。もう後戻りはできません。

2016年
２月　文書レビュー
３月　初動審査（第一段階審査）
４月　本審査（第二段階審査）

　文書レビューまでに、ISMSの PDCAをひと回しして ISMS文書や記録を認証機関に提出しなければなりません。この時点でほぼ ISMS文書は完成していましたが、あと3ヶ月で、情報セキュリティ教育、内部監査、マネジメントレビューまで終わらせる必要があります。

情報セキュリティ教育の実施（認証取得6ヶ月前）

　ISMS文章は作成して終わりではありません、その内容をすべての従業員に周知する必要があります。ISMSを構築するうえでもっとも大変かつ重要なのが、この情報セキュリティ教育だと思います。
　教育責任者は、ISMS規格の内容やセキュリティのルールなど、どう表現したらわかりやすく伝わるのかを考えに考え、なんども修正をかさねて ISMSの要点をまとめた「情報セキュリティテキスト」を完成させてくれました。このテキスト使って情報セキュリティ教育を、すべての従業員を対象として実施します。

　教育の冒頭では代表取締役から ISMSを取得する目的や、認証取得には従業員ひとりひとりの協力が必要であることの説明がありました。会社が本気で ISMS認証取得を進めていることが、すべての従業員に伝わった瞬間です。

　情報セキュリティ教育が終わると同時に、ISMSの運用を開始しました。教育だけではすべてのルールを周知することはできません。新たに追加されたセキュリティルールなどを定期的に周知していきます。

内部監査（認証取得4ヶ月前）

　ISMSの運用がある程度定着したところで、内部監査を実施します。内部監査とはその名のとおり自社で ISMSの運用状況をチェックする機会です。内部監査員は ISMS事務局（ISMS取得の実作業をするチーム）のメンバーが担当しました。

　内部監査では、「観察」（規格要求事項に適合しているが改善を要する）が数件見つかりましたが、内部監査員は「プライバシーマーク認証を取得できているのだから大丈夫なはずだ」という思い込みからか、「不適合なし」という監査結果をつけました。
　この当時 ISMS審査で認証されるには、内部監査で不適合があってはいけないし、情報セキュリティの弱点もあってはならないという、誤った認識をもっていました。（これが原因となり認証審査で痛い目をみました……）

マネジメントレビュー（認証取得3ヶ月前）

　マネジメントレビューは、会社のトップマネジメント(一般に経営者のことを指します)が自社のISMSが適切に構築/運営されているか、なにか欠点が無いかなどをチェックする機会です。内部監査の結果など ISMS事務局がまとめた資料を元に、次なる課題や改善指示などを与えます。
　ちなみに当社の直近のマネジメントレビューでは「変化に対応したISMSの運営」という課題がでています。認証機関の審査員の方はこのトップマネジメントからの指示をとても重視しますので、この課題には必ず対応しなければなりません。

文書レビュー（認証取得3ヶ月前）

　マネジメントレビューも無事に終わり ISMS文書や記録がそろいましたので、文書レビューを受けるため審査機関に提出します。やっと ISMSの構築がひと段落したと思ったころでしたが、ISMS文書に「不適合が懸念される事項」が10件も見つかり、一息つく暇もありません。もっと ISMS規格要求事項を理解しなければならないと反省させられました。
　ISMS規格要求事項は、日本規格協会のウェブストアから購入することができます。PDF版もあるので、会社で１冊用意しておくことをオススメします。

初動審査（第一段階審査）（認証取得2ヶ月前）

　文書レビューは審査員の方とメールでのやりとりでしたが、初動審査（本審査の予行練習のようなものです）ではじめて審査員の方と対面で審査を受けます。初動審査とはいえ２日間みっちり行います。基本的には ISMSの仕組みがしっかり整備され、セキュリティ対策も問題なく運用できているとの評価をいただきました。
　しかし、内部監査のところでも書きましたが、ISMS審査で認証されるには、内部監査で不適合があってはいけないし、情報セキュリティの弱点もあってはならないという誤った認識をもっていたため、リスク対応計画や情報セキュリティ計画がありませんでした。今考えれば当然ですが これでは PDCA がうまく回らなくなってしまいます。

　審査員の方からは、内部監査で不適合が見つかり、情報セキュリティ弱点や事象の報告（これは一般に「ヒヤリハット」と呼ばれます）があるのが普通で、そのリスクや課題をリスク対応計画や情報セキュリティ計画で改善しているのが、ISMSの望ましい姿だと指摘されました。これが「不適合が懸念される事項」の1つにもなりました。
　そこで「リスクを見つける」という視点で、リスクアセスメントを今一度行ってみると、3つのリスクが見つかりました。このリスクに対するリスク対応計画を作成し本審査に挑むことにしました。

本審査（第二段階審査）（認証取得1ヶ月前）

　本審査は3日間行われます。初動審査で指摘された事項を対処していましたので、大きな問題もなく無事に認証授与の推薦をいただきました。
　ただこれで ISMS認証取得というわけではなく、審査員の方が判定委員会（偉い先生方でメンバーが構成されているそうです）に報告し、そこで認められれば、晴れて ISMS認証取得となります。厳しい印象の審査員の方でしたが、こういった ISMSに関する雑談も交えて審査を進めてくれたので、適度に緊張もぬけて無事に進めることができたと思います。

　本審査で不適合はありませんでしたが、いくつかご指摘をいただきました。そのなかでも印象に残っているのは、「情報セキュリティに関するヒヤリハットの報告がないのは本当にヒヤリハットがないのではなく、報告がされていないだけだ」という指摘です。
　そこでヒヤリハット報告をするように社内に周知したところ、今では毎月のようにヒヤリハット報告があり、大きな事故の予兆管理として役立っています。

認証取得

本審査から約1ヶ月後の2016年5月26日判定委員会に合格し、無事に ISMS認証を取得することができました。

おしまいに

　はやいもので、つい先日には1年次の定期サーベイランス審査が実施されました。認証審査の反省から、この1年間は情報セキュリティリスクを積極的に探し改善活動をいくつも実施したのが良かったのか、審査は順調に進み、有効性の高い改善策が確実に実施されているとの評価をいただきました。
　もちろんこれに慢心することなく、「キュービストなら安心して情報を預けられるね」という信頼をお客様からいただけるよう、当社は今後も全従業員一丸となって情報セキュリティに取り組んでいきます。