ISMS維持審査とは｜2022年版の審査内容・更新審査との違いと合格準備を解説

ISMS（ISO/IEC 27001）認証は取得後も毎年の維持審査で運用状況が確認され、ここでつまずくと認証の一時停止や取消につながります。この記事では、維持審査の定義とサーベイランス審査との関係、更新審査・初回審査との違い、合格の前提となる内部監査やマネジメントレビューの準備、費用と工数の決まり方、不適合への是正対応までを実務目線で整理します。さらに、2025年10月31日に移行期限を終えたISO/IEC 27001:2022の定着確認や、2024年に加わった気候変動追補という最新の確認ポイントも解説し、初めて維持審査を迎える担当者が迷わず準備を進められる状態を目指します。

ISMS維持審査の合否を分ける準備の優先順位と年間運用の結論まとめ

維持審査の合否は、審査当日の対応ではなく「審査前に年1回の運用を回し切ったか」でほぼ決まります。最優先で押さえるべきは、内部監査・マネジメントレビュー・リスクアセスメントの年次見直しを実施し、その記録を残すことです。この3点は維持審査で必ず確認される中核であり、未実施だとそれ自体が不適合になります。

次に優先すべきは、前回審査で受けた指摘の是正完了と、退職者・異動者のアクセス権限の見直しです。権限の残存や特権ID管理の不備は維持審査での頻出指摘であり、運用の形骸化を最も疑われる箇所だからです。

そして2026年時点では、ISO/IEC 27001:2022での運用が定着しているか、適用宣言書が93管理策の構成に更新されているかが前提として見られます。本文では各論点の根拠・手順・判断基準を順に解説しますが、結論として「年間スケジュールを認証日から逆算し、内部監査とMRを審査の1〜2か月前までに終える」体制を作ることが、維持審査を安定して通過する最短ルートです。

ISMS維持審査の定義とサーベイランス・3年認証サイクルでの位置づけ

維持審査は、ISMS認証を取得した組織が認証を維持し続けるために定期的に受ける審査です。まずは用語と仕組みを正確に押さえます。

維持審査の定義とサーベイランス審査という別称が指す同一の審査

維持審査とは、ISMSが認証取得後も規格要求どおりに運用・改善され続けているかを、認証機関が定期的に確認する審査です。英語の「surveillance audit」を訳した「サーベイランス審査」「継続審査」も同じ審査を指し、文書や審査機関によって呼び方が異なるだけです。検索時に「維持審査」「サーベイランス」「継続審査」が併記されて混乱しやすいですが、初回審査と更新審査の間に毎年挟まる定期審査、と理解すれば実務上は十分です。呼称の違いに惑わされず、自社の認証機関が交付する審査計画書の表記に合わせて準備すれば問題ありません。

3年で1サイクルとなる初回・1年目・2年目・更新の年次スケジュール

ISMS認証の有効期限は原則3年で、審査は3年を1サイクルとして毎年1回行われます。流れは「初回審査（認証取得）→1年目に維持審査→2年目に維持審査→3年目に更新審査（再認証）」で、更新後は再び維持審査2回と更新審査を繰り返します。つまり3年間のうち2回が維持審査、1回が更新審査という配分です。担当者は「今年が3年サイクルの何年目か」を最初に確認し、維持審査の年か更新審査の年かでスケジュールと準備量を切り替える必要があります。

維持審査が確認する「継続的な運用」と一部抽出という審査範囲の特徴

維持審査の目的は、認証時の状態が維持され、PDCAサイクルによる改善が回っているかの確認です。そのため毎回すべての要求事項を精査するのではなく、要求事項や管理策の一部に焦点を当てて抽出的に確認します。たとえば1年目はアクセス制御と運用管理、2年目は物理的管理策と供給者管理、というように年ごとに重点が変わるのが一般的です。ただし内部監査・マネジメントレビュー・是正処置・前回指摘のフォローは、どの年の維持審査でも共通して必ず確認される固定の対象です。

認証取得の翌年から毎年1回という受審頻度と実施時期の決め方

維持審査は認証取得の翌年から毎年1回受審します。実施時期は認証日を基準に認証機関と調整して決め、通常は認証日（登録日）の前後の決まった月に設定されます。たとえば3月に初回認証を受けた組織なら、翌年以降も2〜3月前後に維持審査が組まれるのが典型です。期日には認証機関側の管理上の許容幅がありますが、勝手に大幅な延期はできません。受審月が固定されることを前提に、その1〜2か月前までに内部監査とマネジメントレビューを終える逆算が必要です。

維持審査を怠った場合の認証一時停止・取消につながるリスク

維持審査を予定どおり受けない、あるいは重大な不適合を是正できない場合、認証の一時停止や取消に至る可能性があります。認証は「3年間有効だから途中は何もしなくてよい」ものではなく、毎年の維持審査をクリアし続けて初めて維持されます。停止・取消になると取引先へ提出している認証登録証が無効となり、入札条件や取引要件を満たせなくなる実害が生じます。維持審査を軽い手続きと捉えず、認証維持の必須条件として年間計画に組み込むことが重要です。

維持審査と更新審査・初回審査の違い｜審査範囲と頻度と不適合対応

「維持審査・更新審査・初回審査の違い」は検索でも需要が高い論点です。範囲・頻度・不適合対応の3軸で比較すると整理しやすくなります。

初回審査の第一段階・第二段階という2回構成と維持審査の位置の違い

初回審査は、文書・体制の整備状況を見る第一段階審査と、実際の運用を見る第二段階審査の計2回で構成されます。ここを通過して初めて認証が交付され、その翌年から維持審査が始まります。維持審査は初回審査のように2段階に分かれず1回の審査で、ゼロから適合性を立証する初回とは異なり、「すでに認証された仕組みが続いているか」を確認する位置づけです。新規取得を控えている段階の人は、まず第一段階・第二段階を終えるのが先で、維持審査はその後の継続フェーズだと区別しておきましょう。

維持審査の一部抽出と更新審査の全要求事項精査という範囲の差

最大の違いは審査範囲です。維持審査は要求事項・管理策の一部を抽出して確認しますが、更新審査は適用範囲全体と全要求事項を原則として精査します。更新審査では過去3年間の運用実績を対象に、リスクアセスメント、適用宣言書、内部監査、是正処置、マネジメントレビューの有効性、外部委託先や拠点の管理までを横断的に確認し、継続適合性を総合判定します。維持審査が「定点観測」なら更新審査は「総点検」であり、準備すべき記録の量と深さが大きく異なります。

表のとおり、同じ「定期審査」でも維持審査と更新審査は性質が異なります。自社が今年どの審査に当たるかで、準備の重さを調整してください。

毎年1回の維持審査と3年に1回の更新審査という頻度の比較

頻度の面では、維持審査は毎年1回、更新審査は有効期限が切れる前の3年ごとです。3年サイクルでは維持審査が2回、更新審査が1回という配分になります。更新審査は3年に1回しかない分、前回更新からの3年間で運用レベルが落ちていないか、事業環境の変化に対応できているかまで遡って見直されるため負荷が高くなります。逆に維持審査は毎年あるからこそ差分が小さく、毎年こまめに改善しておけば更新審査時に慌てずに済むという関係です。

不適合是正が「次回確認」となる維持審査と更新可否を左右する更新審査

不適合への対応も両者で扱いが違います。維持審査で軽微な不適合が出た場合、是正処置を計画し、その完了は原則として次回審査時に確認されます。一方、更新審査で不適合が出た場合は、是正処置を完了させないと認証登録の更新そのものができません。つまり同じ不適合でも、維持審査では「次回までに直す」猶予がありやすく、更新審査では「その場で更新可否を左右する」重みを持ちます。ただし維持審査でも重大不適合は別扱いで、後述のとおり認証停止につながり得る点に注意が必要です。

審査日数・審査員数が更新審査で増える工数面の具体的な違い

審査範囲の差は、そのまま審査日数と審査員数の差として現れます。全要求事項を精査する更新審査は、抽出確認の維持審査より審査日数が長く、規模によっては審査員を増員して対応します。結果として更新審査の年は審査費用も維持審査より高くなります。担当者の立場では、更新審査の年は受審側の対応工数（資料準備・部門調整・立会い）も増えるため、維持審査の年と同じ感覚でスケジュールを組むと準備が間に合いません。3年目は前倒しで動き始めるのが安全です。

維持審査の前提となる内部監査とマネジメントレビューの実施手順

維持審査の合否を実質的に決めるのが、審査前に組織自身が回すべき年次活動です。ここを記録まで含めて完了させておくことが合格の前提になります。

年1回以上の内部監査で不適合を検出し是正まで回す実施手順

内部監査は、ISMSのルールが現場で守られ有効に機能しているかを組織自身で点検する活動で、少なくとも年1回の実施が求められます。手順は、監査計画の策定、監査員の選定（被監査部門から独立した人を割り当てる）、チェックリストに沿った監査の実施、発見された不適合への是正処置、そして是正結果のフォローまでが1サイクルです。維持審査では「監査を実施した記録」だけでなく「指摘を是正し有効性を確認した記録」まで見られるため、監査をやりっぱなしにせず是正の閉じ込みまで終えておく必要があります。

マネジメントレビューで経営層が評価する5つのインプット情報

マネジメントレビュー（MR）は、経営層がISMS全体の有効性・適切性・妥当性を評価し、必要な指示を出す場です。主なインプットは、内部監査の結果、リスクアセスメントの結果、前回からの改善状況、利害関係者からの意見、そしてセキュリティ目標の達成状況の5点です。これらをもとに経営層が改善命令や資源配分、方針見直しを決定し、議事録として残します。維持審査では経営層の関与の実質性が見られるため、担当者が作った資料を経営層が追認しただけのMRは形骸化と判断されやすく、実際の議論の痕跡を残すことが重要です。

リスクアセスメントの年次見直しと適用宣言書の整合確認

リスクアセスメントは一度作って終わりではなく、年1回など定期的に見直すプロセスが必要です。新規システムの導入、組織変更、新たな脅威の出現などをきっかけに、情報資産・脅威・脆弱性の評価を更新し、リスク対応計画に反映します。あわせて、どの管理策を採用するかを示す適用宣言書（SoA）との整合も確認します。リスクアセスメントの結果と適用宣言書、リスク対応計画の3点が食い違っていると、維持審査で「リスク管理が回っていない」と指摘されやすいため、見直しのたびに3点セットで整合を取るのが実務の要点です。

是正処置の有効性確認まで完了させ記録を残す運用の判断基準

是正処置で重要なのは、表面的な対処ではなく原因を除去し、再発しない状態まで持っていくことです。判断基準としては、「不適合の原因分析がなされているか」「対策が原因に対応しているか」「実施後に有効性を確認した記録があるか」の3点を満たしているかで評価します。たとえば「権限の棚卸を忘れた」という不適合に対し、単に今回棚卸をするだけでなく、棚卸を定期タスクとして仕組み化し、次回以降も回ることを確認できて初めて是正完了です。この有効性確認の記録が、維持審査で是正の質を判断する材料になります。

内部監査・MR・リスク評価の記録が最重要文書とされる理由

内部監査報告書、マネジメントレビュー議事録、リスクアセスメント記録は、維持審査で必ず確認される最重要文書群です。これらはISMSが「文書上だけでなく実際に運用されている」ことを示す直接の証拠だからです。逆に言えば、この3つが揃っていないと、いくら規程類が整備されていても運用実態を立証できず不適合になります。審査直前に慌てて作成すると日付の整合が取れず形骸化を疑われるため、年間を通じて実施の都度きちんと記録を残し、審査時にはそのまま提示できる状態にしておくことが鉄則です。

維持審査で確認される必要書類と審査当日の進行・現地審査の流れ

必要書類と当日の流れを事前に把握しておくと、現地審査でも慌てずに対応できます。準備物と進行を具体的に整理します。

適用宣言書・リスク対応計画など事前提出が求められる文書一覧

維持審査の前に、認証機関から事前提出を求められる文書があります。代表例は、適用宣言書（SoA）、リスクアセスメント結果とリスク対応計画、情報セキュリティ方針、ISMSの適用範囲を示す文書、組織図などです。これらは審査計画を立てるための基礎情報になり、提出が遅れると審査計画の確定も遅れます。前年からの変更点（組織変更、拠点追加、スコープ変更など）があれば、その差分が分かる形でまとめておくと審査がスムーズです。提出版と最新版がずれないよう、版管理を徹底してください。

内部監査報告書・MR議事録・是正処置記録という運用記録の準備

当日に提示する運用記録として、内部監査報告書、マネジメントレビュー議事録、是正処置記録、教育・訓練の実施記録、アクセス権限の棚卸記録、インシデント対応記録などを揃えます。これらは「規程どおり運用した証拠」であり、審査員は規程と記録を突き合わせて実態を確認します。記録は審査の直前にまとめて作るのではなく、実施の都度残しておくことが前提です。どの記録がどこに保管されているかを一覧化しておくと、当日「その記録を見せてください」と言われた際に即座に提示でき、印象も良くなります。

初回ミーティングから現地確認・クロージングまでの当日進行

審査当日は審査計画書に沿って進みます。一般的な流れは、初回ミーティング（オープニング）で審査範囲とスケジュールを確認、続いて経営層へのインタビュー、各部門での運用確認・記録レビュー、審査員間の評価のまとめ、最後にクロージングミーティングで結果と指摘事項のフィードバック、という順序です。指摘がある場合はその場で内容と区分が説明されます。担当者は各部門の対応者と時間割を事前に共有し、審査員が部門を回る順番に合わせて関係者が在席できるよう段取りしておきます。

現場部門へのインタビューと記録突合という現地審査の確認方法

現地審査では、審査員が現場部門の担当者に直接インタビューし、規程の内容を理解して実践しているかを確認します。たとえば「入退室管理はどう運用していますか」「USBメモリの持ち出しルールは」といった質問に、現場の言葉で答えられるかが見られます。あわせて、操作ログやアクセス権限一覧などの記録と、規程に書かれたルールが一致しているかを突合します。担当部署が「規程は知らないが現場ルールでやっている」状態だと指摘対象になりやすいため、規程と現場運用の一致を日頃から保つことが現地審査対策になります。

リモート審査の併用可否と現地審査で慌てないための事前確認

近年は文書確認やインタビューの一部をオンラインで行うリモート審査を併用するケースが増えています。リモート対応の可否や範囲は認証機関の方針によるため、事前に確認し、画面共有や記録の電子提示ができる環境を整えておきます。現地審査で慌てないコツは、想定問答を部門ごとに用意し、提示が必要な記録の保管場所を一覧化し、前回指摘の是正状況を真っ先に説明できるよう準備しておくことです。クラウド上の管理記録を見せる場面では、AWS Trusted Advisorのようなクラウド点検サービスの確認結果をすぐ提示できるようにしておくと、技術的管理策の運用証跡としても説明しやすくなります。

維持審査の費用相場と審査工数の決まり方・年間スケジュールの逆算設計

費用は審査機関や組織規模で変わるため、相場を鵜呑みにせず「どう決まるか」を理解して見積もりを取るのが実務的です。算定の仕組みとスケジュール設計を解説します。

審査工数（人日）が実効人員数と適用範囲で決まる算定の考え方

ISMSの審査費用は、審査工数（人日）に審査員の単価を掛けて算出されるのが基本構造です。審査工数は、ISMSの適用範囲に含まれる実効人員数や拠点数、業務の複雑さなどをもとに、ISMS認証機関向けの国際規格ISO/IEC 27006（審査工数を定めた附属書）に沿って認証機関が算定します。人員規模が大きいほど、また拠点や業務が複雑なほど工数は増えます。具体的な金額は認証機関ごとに異なるため、一律の相場で判断せず、自社の人員数・拠点構成・適用範囲を伝えて複数機関から見積もりを取り比較するのが確実です。

維持審査が更新審査より工数・費用とも小さくなる一般的な比率

維持審査は一部抽出の審査であるため、全要求事項を精査する初回審査や更新審査に比べて工数が小さく、費用も抑えられます。一般的な目安として、維持審査の工数は初回審査のおおよそ3分の1程度とされ、これはISMS認証機関向けのISO/IEC 27006（及びその基礎であるISO/IEC 17021-1）が、サーベイランスを初回の一定割合とする考え方に基づきます。したがって年間コストは「維持審査の年は軽め、更新審査の年は重め」という波を持ちます。予算計画では、3年に一度の更新審査の年に費用が跳ね上がることを織り込んでおくと、想定外の出費になりません。

拠点追加・スコープ拡大が審査日数と費用を押し上げる要因

費用が増える典型要因が、拠点の追加や適用範囲（スコープ）の拡大です。新拠点をISMSの対象に加えると、その拠点のリスク評価・文書整備が必要になり、審査範囲が広がって審査日数が追加されることがあります。組織再編や新事業の立ち上げでスコープが変わる場合は、維持審査の直前に発覚させず、変更が決まった時点で早めに認証機関へ相談するのが鉄則です。事前相談なしに当日スコープ変更が判明すると、審査計画の組み直しや追加審査が発生し、費用とスケジュールの両面で不利になります。

初回費用に加えて毎年・3年ごとに発生する継続コストの内訳

ISMS認証の費用は初回取得時で終わりではありません。取得後は、毎年の維持審査費用が継続的に発生し、3年ごとに更新審査費用が加わります。さらに認証機関によっては年間の登録維持料が別途かかる場合があります。つまり「初回費用＋毎年の維持審査費用＋3年ごとの更新審査費用（＋登録維持料）」が認証維持の総コストです。経営層へ予算を説明する際は、初回費用だけでなくこの継続コストの構造を示すと、認証維持を年間固定費として位置づけやすくなります。

認証日から逆算した内部監査・MR・受審の年間スケジュール設計

維持審査を安定して通過するには、認証日を起点に年間スケジュールを逆算します。受審月が認証日基準で決まるため、その1〜2か月前までにマネジメントレビューを終え、さらにその前に内部監査と是正処置を完了させる順序になります。実務では「受審月の3〜4か月前に内部監査、2か月前にMR、直前に最終確認」といった工程表を作るのが現実的です。

1. 受審月の確定（認証日から逆算）
2. リスクアセスメントの見直し
3. 内部監査の実施と是正
4. マネジメントレビューの開催
5. 必要書類の最終確認と受審

この順序を毎年固定のサイクルとして回せば、審査直前に活動が間に合わないという最頻出の失敗を防げます。

維持審査の不適合区分と是正対応の流れ・頻出指摘事例の再発防止策

「維持審査で落ちるのか」という不安の正体は、不適合の区分と是正の扱いを知らないことにあります。区分の違いと頻出指摘への備えを具体化します。

軽微な不適合と重大（メジャー）不適合という2区分の判断基準

審査で見つかる不適合は、軽微な不適合（マイナー）と重大な不適合（メジャー）の2区分に分けられます。判断の目安は、ISMS全体の有効性を損なうかどうかです。一部の記録漏れや手順の軽微な逸脱は軽微な不適合、要求事項そのものが満たされていない・仕組みが機能していないといった重大な欠落はメジャー不適合に分類されます。たとえば「内部監査を実施していない」「マネジメントレビューを開催していない」は仕組みの欠落なので重大不適合に該当し得ます。区分によって後の扱いが大きく変わるため、指摘を受けたらまず区分を確認します。

維持審査での是正は次回確認・観察事項は改善推奨という扱いの差

維持審査で軽微な不適合が出た場合、是正処置を計画・実施し、その完了は原則として次回審査で確認されます。つまり軽微な不適合があっても、その場で認証が失われるわけではありません。さらに不適合に至らない「観察事項（オブザベーション）」は改善の推奨にとどまり、是正義務はありません。この扱いを知っていれば、「維持審査で指摘＝即不合格」という誤解は解けます。重要なのは、指摘された軽微な不適合を次回までに確実に是正し、放置して翌年に持ち越さないことです。

重大不適合の是正が認められない場合の認証停止・取消の条件

一方で、維持審査でも重大不適合が出て、定められた期限内に是正できない、または是正の有効性が認められない場合は、認証の一時停止や取消に至る可能性があります。「維持審査は軽い」と油断して運用を形骸化させた結果、重大不適合を指摘されるケースが最も危険です。重大不適合を受けた場合は、期限内に原因分析・対策・有効性確認まで完了させ、認証機関に確認してもらう必要があります。サーベイランスだからと軽視せず、常に運用を維持する姿勢が、認証停止という最悪の事態を避ける条件になります。

退職者の権限残存・特権ID管理という頻出指摘と権限見直しの実務

維持審査で頻出する指摘の代表が、アクセス権限の管理です。具体的には、退職者・異動者のアカウントや権限が残っている、不要な権限が付与されたまま、特権ID（管理者権限）の管理が不適切、権限の定期的な見直しができていない、といった指摘が多く見られます。対策は、入退社・異動の都度に権限を更新する運用と、定期的な権限棚卸の仕組み化です。認証や権限制御の技術的な背景を理解しておくと運用設計に役立つため、OpenID Connect（OIDC）による認証の仕組みのような認証技術の基礎も押さえておくと、アクセス制御の管理策を説明しやすくなります。

教育の記録不足・MR形骸化という指摘を防ぐ運用改善のポイント

権限管理と並ぶ頻出指摘が、教育とマネジメントレビューの形骸化です。教育では「計画・記録がない」「対象者や内容が不十分」「理解度を評価していない」が典型で、対策は教育計画を立てて役割に応じて実施・記録し、理解度テストなどで有効性を評価することです。MRでは「形式的」「経営層の関与が薄い」「決定事項がフォローされない」が典型で、対策は経営層を実質的に巻き込んで議論し、決定事項を必ず追跡することです。いずれも「やった事実」だけでなく「有効性を確認した記録」まで残すのが、指摘を防ぐ共通のポイントです。

2022年版ISMS運用の定着確認と気候変動追補・技術的管理策の点検

移行期限を終えた2026年現在、維持審査はISO/IEC 27001:2022を前提に行われます。競合記事が手薄な最新論点として、定着確認の観点を整理します。

移行期限2025年10月31日が終了し2022年版運用が前提となった現状

ISO/IEC 27001は2022年10月に第3版（27001:2022）が発行され、国内向けのJIS Q 27001:2023も2023年9月に公示されました。旧規格（27001:2013／JIS Q 27001:2014）からの移行期限は2025年10月31日で、この期限は既に終了しています。そのため2026年現在は移行が完了したフェーズであり、有効な認証はすべて2022年版を基準に運用されている前提です。維持審査でも2022年版での運用が当然視され、移行が未完了だった組織は認証を失っている状況のため、まずは自社が2022年版で運用できているかの確認が出発点になります。

93管理策・4テーマ再編と新設11管理策の運用定着の確認観点

2022年版の最大の変更は附属書Aの再編です。旧版では14分野に分かれていた管理策が、93の管理策を「組織的・人的・物理的・技術的」の4つのテーマに再構成する形に整理され、11の管理策が新設されました。新設管理策には、脅威インテリジェンス（5.7）、クラウドサービス利用の情報セキュリティ（5.23）、データ漏えい防止（8.12）、監視活動（8.16）、セキュアコーディング（8.28）などがあります。維持審査では、これら新設管理策を採用するか否かの判断と、採用した管理策が実際に運用され記録が残っているかが確認されます。適用宣言書が新しい93管理策の構成に更新されているかも重要な確認点です。

2024年2月の気候変動追補で確認される課題検討と記録の2要件

2024年2月には、ISOマネジメントシステム規格の共通要件として「気候変動への配慮」に関する追補が加わりました。これはISMSにも適用され、2026年時点では環境活動の実施を強制するものではなく、「気候変動が自社にとって関連する課題かどうかを検討したか」「その検討プロセスを記録として残しているか」の2点が求められる段階です。維持審査でこの観点を問われる可能性があるため、組織の課題（4.1）や利害関係者のニーズ（4.2）の検討時に気候変動を論点として扱い、その記録を残しておくと安心です。過度な対応は不要で、検討と記録の2要件を満たすことが当面のポイントです。

クラウド利用・脆弱性管理など技術的管理策の継続運用の証跡

2022年版では技術的管理策とクラウド関連の比重が増しており、維持審査でも継続運用の証跡が重視されます。たとえばクラウドサービス利用の管理策（5.23）では、利用クラウドのセキュリティ設定や責任分界の管理記録が問われます。脆弱性管理では、定期的な脆弱性診断と対応の記録が必要で、クラウド環境ではAmazon Inspectorによる脆弱性診断のようなツールを継続運用し、その結果と対応履歴を残しておくと証跡として有効です。技術的管理策は「導入した」だけでなく「運用し続け記録を残している」状態を示せるかが評価の分かれ目になります。

適用宣言書の更新と移行後の運用記録が維持審査で見られる点

移行後の維持審査で特に見られるのが、適用宣言書（SoA）が2022年版の構成に更新されているか、そして移行に伴う管理策の見直しが実際の運用に反映されているかです。移行審査で適用宣言書を改訂しただけで現場運用が伴っていないと、次の維持審査で「文書と運用の乖離」を指摘されかねません。移行で採否を決めた新設管理策について、運用開始後の記録（設定、教育、監視ログなど）が蓄積されているかを自己点検し、適用宣言書・リスク対応計画・運用記録の3点が一貫している状態を保つことが、移行完了後の維持審査を安定して通すための要点です。

ISMS維持審査に関するよくある質問

維持審査の準備でつまずきやすい疑問を、検索ニーズの高い順に整理しました。実務判断の参考にしてください。

ISMSの維持審査と更新審査は具体的に何が違うのですか？

最大の違いは審査範囲と頻度です。維持審査は毎年1回、要求事項や管理策の一部を抽出して継続運用を確認します。更新審査は3年に1回、適用範囲全体と全要求事項を精査して認証を更新します。不適合の扱いも異なり、維持審査の軽微な不適合は原則として次回審査で是正を確認しますが、更新審査では是正を完了しないと認証を更新できません。維持審査が定点観測、更新審査が総点検と覚えると整理しやすくなります。

ISMSの維持審査は毎年必ず受ける必要がありますか？

はい、認証を維持する限り、認証取得の翌年から毎年1回の維持審査が必要です。ISMS認証は有効期限が原則3年で、その3年間のうち2回が維持審査、1回が更新審査という構成になっています。維持審査を予定どおり受けない場合、認証の一時停止や取消につながる可能性があります。「3年間有効だから途中は不要」という認識は誤りで、毎年の維持審査をクリアし続けて初めて認証が維持される仕組みです。

ISMSの維持審査で「落ちる」ことはあるのですか？

軽微な不適合の指摘で即座に認証を失うことは通常ありません。軽微な不適合は是正処置を計画し、その完了を次回審査で確認するのが一般的だからです。ただし、内部監査やマネジメントレビューを実施していないといった重大な不適合が出て、期限内に是正できない場合は、認証の一時停止や取消に至る可能性があります。つまり「落ちる」リスクは、運用を形骸化させて重大不適合を招いた場合に現実化します。年次の運用を確実に回していれば過度に恐れる必要はありません。

維持審査の費用はどのくらいかかりますか？

費用は審査工数（人日）に基づき、適用範囲の実効人員数・拠点数・業務の複雑さで決まるため、組織ごとに金額が異なります。一般に維持審査は一部抽出の審査のため、全要求事項を精査する更新審査より工数・費用とも小さく、目安として初回審査のおよそ3分の1程度の工数とされます。正確な金額は認証機関で異なるので、自社の人員数や拠点構成を伝えて複数機関から見積もりを取り、比較するのが確実です。毎年の維持審査費用と3年ごとの更新審査費用が継続的に発生する点も予算に織り込んでおきましょう。

維持審査の前に最低限そろえるべき書類は何ですか？

最優先でそろえるべきは、内部監査報告書、マネジメントレビュー議事録、リスクアセスメント結果とリスク対応計画、適用宣言書（SoA）の4点です。これらは維持審査で必ず確認される中核文書で、未実施・未整備だとそれ自体が不適合になります。加えて、教育・訓練の記録、アクセス権限の棚卸記録、前回指摘の是正処置記録を用意します。いずれも審査直前にまとめて作るのではなく、実施の都度に記録を残しておくことが、形骸化を疑われないための前提です。

関連記事

• 「7-Zip」脆弱性の全体像と主要CVEの解説：技術的管理策の脆弱性管理で、具体的な脆弱性事例と対応を押さえたい場合の参考になります。
• AWS Control Towerの基本用語と理解の重要性：クラウド利用の管理策（5.23）に関連し、複数アカウントのガバナンス整備を検討する際に役立ちます。