「ISMS 認証は取ったが、内部監査が形式的で規程との乖離を見つけられていない」「更新審査の直前になって内部監査を慌てて実施している」「内部監査員をどう選任するかで社内で揉めている」。ISMS 内部監査の相談を受けるとき、この 3 つは典型的なパターンです。本記事は、AI 駆動開発のクリエイティブスタジオとして自社と支援先で内部監査を回してきた観点から、「書類だけの内部監査」で終わらせず継続改善の起点として機能させる実務を整理しました。

結論: 内部監査は「継続改善の起点」として設計する

先に結論を書きます。ISMS 内部監査を「認証審査に通す準備」として位置付けると、審査の直前だけ形式的に実施する運用に陥りがちです。認証機関の外部審査で不備を突かれないための守りの活動になり、社内の情報セキュリティ体制の実効性は上がりません。内部監査の目的は「認証に通すこと」ではなく「規程と実態の乖離を発見し、継続的に改善する起点」です。

注意

内部監査を形式的な認証審査対策として運用すると、規程と実態の乖離が見過ごされ、認証取得後にインシデントが発生しがちです。内部監査は「継続改善の起点」として設計し、年 2 回以上のサイクルで回すことで実効性を担保します。

本記事では、まず ISMS 内部監査の基本と要求事項を整理し、そのうえで監査員の選定・監査計画の作り方・実施の実務・是正処置と改善サイクルを掘り下げます。ISMS 全体像は ISMS 取得ガイド を参照してください。

ISMS 内部監査の基本と要求事項

ISO 27001 の内部監査に関する要求事項は次の 3 点です。

  1. 情報セキュリティマネジメントシステム (ISMS) が組織の要求事項と ISO 27001 の要求事項に適合しているかを確認する
  2. ISMS が有効に実施され、維持されているかを確認する
  3. 内部監査プログラムを計画・確立・実施・維持する

具体的な監査頻度・監査員の資格・監査対象範囲は組織側で定める運用になっており、規格自体は柔軟です。ただし、認証機関の外部審査では「内部監査プログラムが適切に運用されているか」が必ず確認されるため、実質的には次の型が定着しています。

  • 頻度: 年 1 回以上 (実務では年 2 回が標準)
  • 対象範囲: ISMS 適用範囲の全プロセスを 3 年サイクルで一巡
  • 監査員: 被監査部門から独立、監査員研修受講済み
  • 記録: 監査計画・チェックリスト・監査記録・是正報告を保管

監査員の選定と教育

内部監査員は「自らの業務を監査してはならない」という要求事項があるため、被監査部門から独立している必要があります。実務での選定パターンは 3 つあります。

パターン 1: 情報セキュリティ管理者と配下が全社を担当

中堅企業以上で多いパターンです。情報セキュリティ管理者 (CISO) の配下に内部監査担当者を専任配置し、全社の監査を回します。専任担当者の育成に時間はかかりますが、監査品質と一貫性が高く維持できます。

パターン 2: 他部門の管理職を持ち回りで任命

中小企業でよく採用されます。他部門の管理職を監査員に任命し、半日〜1 日の監査員研修を受けさせて実施します。監査員の稼働時間は年 5〜10 日程度に収まる場合が多く、負担が分散できます。

パターン 3: 外部監査会社に委託

客観性を強く求められる企業 (規制業界・IPO 準備段階) で採用されます。費用は中堅企業で 1 回あたり 30〜80 万円が目安です。内部監査員の育成に時間をかけたくない企業にも向きます。

実務のコストパフォーマンスで最も良いのは「社内で育成しつつ、初回だけ外部監査会社に伴走してもらう」組み合わせです。外部監査会社にチェックリストのテンプレートと監査手順を型として提供してもらい、2 年目以降は社内で回せる体制に育てていきます。

監査計画の作り方

年間の内部監査計画には次の要素を含めます。

  • 監査対象範囲 (ISMS 適用範囲の全プロセスを 3 年で一巡する計画)
  • 監査時期 (年 2 回なら上期・下期の実施月)
  • 監査員の割り当て (被監査部門との独立性を確保)
  • 監査対象部門と対象プロセスの一覧
  • チェックリスト (規格要求 + 組織固有の運用ルール)
  • 監査結果の報告先 (経営層・情報セキュリティ委員会)
  • 是正処置のフォローアップ計画

対象範囲を 3 年で一巡させる考え方

ISMS 適用範囲の全プロセスを毎年全て監査するのは非現実的です。3 年サイクルで一巡させる計画を作り、初年度は情報資産管理・アクセス制御・インシデント対応、2 年目は委託先管理・従業員教育・物理的セキュリティ、3 年目は BCP・暗号化・システム開発管理、といった具合に分散します。

チェックリストの型

チェックリストは次の 3 階層で構造化します。

  • 第 1 階層: 規格要求事項の遵守確認 (ISO 27001 の各節)
  • 第 2 階層: 組織固有の規程の遵守確認 (社内規程で定めたルール)
  • 第 3 階層: 実運用の証跡確認 (ログ・記録・システム画面での確認事項)

第 1 階層だけの監査は「規格要求を満たしているか」の書類確認で終わりがちです。第 3 階層まで踏み込むと、規程と実態の乖離が発見しやすくなります。

監査実施の実務

監査当日の進め方は「ヒアリング → 記録確認 → システム確認」の 3 段階で組み立てます。

1. ヒアリング (被監査部門との対話)

被監査部門の担当者に、業務の実態と規程の運用状況をヒアリングします。「規程どおりに運用していますか?」ではなく「実際にどう業務を回していますか?」と具体的な運用手順を聞き出すのがポイントです。

2. 記録確認 (証跡の確認)

規程で定めた記録が実際に残っているかを確認します。アクセス権の付与記録、退職者削除の記録、インシデント対応の記録、教育の受講記録、といった具合です。記録の存在だけでなく、記録の内容が実態を反映しているかも確認します。

3. システム確認 (画面での実地確認)

業務システムの実際の画面を確認します。アクセス権が規程どおりに設定されているか、監査ログが記録・保管されているか、退職者のアカウントが停止されているか、といった論点をシステム画面で確認します。

FIXITFIXIT

内部監査って、書類チェックで済ませちゃダメなの?

書類だけで済ませると、規程と実態の乖離が見過ごされます。実際のシステム画面や運用の現場を確認するところまでを監査の型にします。

TsukasaTsukasa

特に、退職者のアクセス権削除やインシデント対応の実施状況は、システム画面を見ないと分からないケースが多いです。

FIXITFIXIT
監査でイヤな顔されない?
TsukasaTsukasa

それは監査員の態度次第です。「不備を探して糾弾する」ではなく「一緒に改善策を考える」姿勢で臨むと、被監査部門と協力関係が作れます。

是正処置と改善サイクル

内部監査で不備が見つかった場合の是正処置は、次の 5 ステップで回します。

  1. 不備の原因分析 — 「なぜ守れなかったか」を深掘り (規程が現場に合っていない・教育不足・システム制約など)
  2. 是正計画の作成 — 是正の内容・担当者・期限を明記
  3. 是正の実施 — 規程改訂・教育実施・システム改修などを実行
  4. 効果確認 — 是正後に対象を再度確認し、不備が解消されていることを検証
  5. 再発防止策の実施 — 同じ不備が他部門や他プロセスで起きないよう水平展開

是正処置の記録は監査記録として保管し、認証機関の外部審査で「継続的に改善している証跡」として提出できるようにしておきます。

PDCA サイクルとしての内部監査

内部監査は Plan-Do-Check-Act の Check にあたります。監査で発見した不備を Act (是正) に繋げ、次の Plan (計画) に反映することで、情報セキュリティ体制が継続的に成熟していきます。年 2 回のサイクルで回すと、1 年間で 2 回の Check-Act の機会があり、成熟スピードが上がります。

認証審査 (更新審査) との違い

内部監査と認証機関の外部審査 (更新審査) の違いを整理します。

項目内部監査認証機関の外部審査
実施主体社内 (または外部委託)第三者認証機関
目的継続改善の起点ISO 27001 適合性の証明
頻度年 1〜4 回 (実務は年 2 回)3 年目に更新審査 + 1 年目・2 年目にサーベイランス審査
視点内部視点 (改善)外部視点 (適合性)
費用社内 or 30〜80 万円/回 (外部)更新審査 80〜150 万円 + サーベイランス 40〜80 万円

内部監査は「継続改善の起点」、外部審査は「ISO 27001 適合性の証明」と目的が違います。内部監査で発見した不備を是正した状態で外部審査に臨むのが定石です。

失敗を避けるチェックリスト

ISMS 内部監査で事前に確認しておくべき論点を整理します。

  • 内部監査の目的を「継続改善の起点」として設計しているか
  • 年 2 回以上の実施サイクルを計画に組み込んでいるか
  • 監査員が被監査部門から独立していることを確認しているか
  • 3 年で全プロセスを一巡させる計画になっているか
  • チェックリストが第 1〜3 階層 (規格要求・組織規程・実運用証跡) で構造化されているか
  • 監査実施が「ヒアリング + 記録確認 + システム確認」の 3 段階で組まれているか
  • 是正処置に原因分析・是正計画・実施・効果確認・再発防止の 5 ステップが含まれているか
  • 監査結果を経営層・情報セキュリティ委員会に報告する仕組みがあるか
  • 認証機関の外部審査前に必ず内部監査を実施し、是正が完了しているか

これらを満たしたうえで、ISMS 内部監査は形式的な書類作業ではなく、実運用の質を上げる継続改善のツールとして活用するのが正解です。

ISMS 内部監査のご相談

「内部監査を回しているが、規程と実態の乖離を発見できていない」「監査員の育成に時間がかかっていて外部委託を検討している」「更新審査に向けて内部監査を効果的に回したい」といった状況こそ、AI 駆動開発のクリエイティブスタジオが伴走できる領域です。まずは ISMS 取得サポート情報セキュリティコンサル のサービス内容をご覧いただき、お問い合わせ からお気軽にご相談ください。