2026.06.19 IPO

ISMSの内部監査とは?目的・進め方から2022年改訂後の確認観点まで実務解説

ISMSの内部監査とは、組織内部の監査員がISO/IEC 27001の要求事項に照らして情報セキュリティマネジメントシステムの運用状況を点検し、適合性と有効性を確認する活動です。この記事では、内部監査の目的と認証審査(外部監査)との違い、監査計画から是正処置・マネジメントレビューまでの実施フロー、93管理策に沿ったチェックリストと質問例の作り方を順に整理します。あわせて、移行期限を終えた2022年改訂を内部監査にどう反映するか、形骸化を防ぐ運用や被監査部門(受ける側)の準備まで、担当者が着手前に把握しておきたい実務を解説します。

目次

ISMS内部監査の要点と担当者が着手前に押さえる結論

ISMSの内部監査は、ISO/IEC 27001の箇条9.2で定期的な実施が求められる必須の工程です。目的は「決めたルールが守られているか(適合性)」と「そのルールや仕組みが実際に役立っているか(有効性)」の2点を確認し、改善につなげることにあります。認証機関が行う外部審査の前段階として組織が自ら点検する位置づけで、両者は実施者も目的も異なります。

進め方の骨格は、監査プログラム・計画書の作成、チェックリストに基づく現地監査、報告書・不適合報告書の作成、是正処置(箇条10.2)、マネジメントレビュー(箇条9.3)という流れです。監査員は監査対象部門から独立していることが原則で、公的資格は必須ではないものの研修や資格で力量を裏づけると説明がしやすくなります。2013年版から2022年版への移行期限は2025年10月31日で既に経過しているため、現在の内部監査は93管理策・4テーマに再編された附属書Aと、新たに追加された気候変動の考慮を前提に行う必要があります。詳細な進め方は次章以降で具体的に示します。

ISMS内部監査の定義と目的、認証審査(外部監査)との役割の違い

最初に押さえたいのは、内部監査が「認証を取るための形式的な手続き」ではなく、自組織の情報セキュリティを自分たちで点検し改善する仕組みだという点です。ここでは定義と規格上の根拠、2つの目的、そして外部監査との違いを整理します。

ISMS内部監査の定義と箇条9.2が求める実施の根拠

ISMSは情報セキュリティマネジメントシステム(Information Security Management System)の略で、組織の情報資産を機密性・完全性・可用性の観点から守る管理の枠組みです。その運用状況を、組織自身の監査員が規格と社内規程に照らして点検するのが内部監査です。実施の根拠はISO/IEC 27001(日本語版はJIS Q 27001:2023)の箇条9.2にあり、「あらかじめ定めた間隔で内部監査を実施すること」が要求事項として明記されています。根拠を規格番号で確認できると、外部審査の場面でも実施の妥当性を説明しやすくなります。なお、ISMSそのものの運用全体の流れは別記事のISMS運用とは?2022年改訂後のPDCA・内部監査・更新審査までの実務手順で扱っており、本記事は内部監査の工程に絞って深掘りします。

適合性の判定と有効性の判定という2つの目的

内部監査の目的は、大きく「適合性の判定」と「有効性の判定」に分けられます。適合性の判定は、従業員がルールを理解し、定めたとおりに業務を行っているかの確認です。たとえば「USBメモリの利用申請ルール」が全部署で守られているかを記録で確かめます。有効性の判定は、そのルールや文書が現在の業務やリスクに照らして実際に役立っているかの評価です。運用に慣れた段階では、守られていても効果の薄いルールが残りがちで、これを見直すのが有効性の確認にあたります。両者を切り分けて見ることで、ルールだけが残って実効性を失う「形骸化」を防げます。

第三者の認証審査(外部監査)との対象・実施者・タイミングの違い

内部監査と、認証機関による外部審査(認証審査・維持審査・更新審査)は混同されやすいものの、実施者と位置づけが異なります。下表のとおり、内部監査は外部審査に向けた自己点検として先に行うのが一般的です。

観点 内部監査 外部審査(認証審査)
実施者 組織内部の監査員(独立した立場) 認定を受けた第三者認証機関の審査員
主な目的 適合性・有効性の自己点検と改善 認証基準への適合の客観的な証明
結果の重み 是正処置で社内改善につなげる 認証の取得・維持・更新の可否に直結
タイミング 外部審査の前に実施(年1回以上) 初回認証後は定期の維持・更新審査

内部監査で不適合や改善点を先に洗い出しておくほど、外部審査での指摘リスクは下がります。内部監査を「外部審査のリハーサル」として位置づけると、現場の協力も得やすくなります。

監査計画から是正処置・マネジメントレビューまでの実施フロー

内部監査は思いつきで始めるものではなく、計画・実施・報告・改善の一連の工程として設計します。ここでは年間の監査プログラムから、現地監査、報告、是正処置、マネジメントレビューへの接続までを順に解説します。

監査プログラムと内部監査計画書に定める6項目

まず年間の「監査プログラム」で、いつ・どの部門を・どの範囲で監査するかの全体像を決めます。その上で、個別の「内部監査計画書」に次の項目を具体化します。

  1. 監査の目的(適合性・有効性のどちらに重点を置くか)
  2. 監査基準(ISO/IEC 27001の要求事項・社内規程・適用宣言書など、何に照らすか)
  3. 監査範囲(対象部門・対象プロセス・対象拠点)
  4. 実施時期と日程(被監査部門と調整した具体的な日時)
  5. 監査員と被監査部門(担当者の割当)
  6. 前回監査からの引継ぎ事項(指摘の是正状況の確認)

内部監査は抜き打ちではなく、被監査部門の協力のもとで行うのが原則です。計画段階で日程と範囲を合意し、優先度の高い領域に重点を置くと、現場の負担を抑えつつ実効性を確保できます。計画書はそのまま監査記録の一部になるため、文書として残す前提で作成します。

現地監査の進め方とエビデンス(適合・不適合)の記録

現地監査では、チェックリストを使いながら文書レビュー・インタビュー・観察を組み合わせて確認します。文書だけを見て終わらせず、「規程どおりに運用された記録があるか」「担当者がルールの意図を理解しているか」を現場で確かめるのがポイントです。重要なのは、適合・不適合のどちらについても客観的な証拠を収集・記録することです。「問題なし」とだけ書くのではなく、確認したログ名・申請記録・設定画面など、判断の根拠を残します。良好な取り組み(他部署へ横展開できる工夫)も記録しておくと、報告書が改善につながる資料になります。

内部監査報告書・不適合報告書の記載内容

監査後は、監査の目的・範囲・方法・結果を内部監査報告書にまとめます。主な記載事項は、監査対象部門、担当の内部監査員、実施日時、監査の内容、監査結果の5点です。指摘事項は個人の責任追及ではなく、マネジメントプロセスの改善を目的として、客観的な事実に基づいて記述します。問題点を発見した場合は別に「不適合報告書」を作成し、どの要求事項に対してどのような不適合があったかを指摘ごとに明示します。さらに是正の方向性、責任者、期限まで具体的に示すと、その後の改善が進みやすくなります。

是正処置(箇条10.2)とマネジメントレビュー(箇条9.3)への接続

不適合を見つけて終わりにせず、原因を分析して再発を防ぐのが是正処置です。是正処置はISO/IEC 27001の箇条10.2「不適合及び是正処置」に根拠があり、応急的な修正(その場の手直し)と区別して、根本原因に対する対策まで行う点が重要です。たとえば「申請漏れ」が起きたなら、担当者を注意するだけでなく、申請を忘れにくいフローや仕組みへ見直すまでが是正処置にあたります。内部監査の結果と是正処置の状況は、箇条9.3のマネジメントレビューに「インプット」として上げ、経営層が資源配分やルール改定を判断します。この流れが回って初めて、内部監査はPDCAの一部として機能します。

ISO/IEC 27001の93管理策に沿ったチェックリストと質問例の作り方

チェックリストは監査の品質を左右する道具です。監査員ごとの評価のばらつきを抑え、確認漏れを防ぎ、そのまま監査記録になります。一方で、項目を埋めるだけの作業になると形骸化の原因にもなります。ここでは自社に合ったチェックリストの作り方と、深掘りのための質問例を示します。

適用宣言書(SoA)起点でチェック項目を設計する手順

汎用のサンプルをそのまま使うと、自社で採用していない管理策まで確認することになり、非効率かつ的外れになりがちです。そこで起点にしたいのが適用宣言書(SoA)です。SoAには自社が採用する管理策が一覧化されているため、ここから「採用している管理策」を抽出し、それぞれについて運用記録の有無と内容を問う形でチェック項目を設計します。具体的な手順は次のとおりです。

  1. SoAで「適用する」とした管理策を抜き出す
  2. 管理策ごとに、対応する社内規程・運用記録を確認項目に落とす
  3. 前回の指摘事項と、リスクの高い領域を重点項目として加える
  4. 部門ごとに実態が異なる項目は、部門別に質問を分ける

組織やリスクの変化に合わせて毎年見直し、使わない項目は削るとチェックリストが軽くなり、現場の負担も減ります。

形だけのチェックを防ぐ深掘り質問例

「ルールはありますか?(はい/いいえ)」で終える質問は、形骸化を招きます。記録と理解の両方を引き出す、オープンな問い方に変えるのが有効です。たとえば次のような質問例が考えられます。

  • 「直近で情報資産台帳を更新したのはいつで、誰が承認しましたか。その記録を見せてください」
  • 「退職者が出たとき、アカウント停止はどの手順で、何日以内に行いましたか」
  • 「このルールを守れなかったことは過去にありましたか。そのとき、どう対応しましたか」
  • 「クラウドサービスを新規に使い始めるとき、誰がリスクを評価していますか」

「いつ・誰が・どの記録で」を必ず確認すると、口頭の説明ではなく証拠で判断できます。チェックリストの項目に縛られすぎず、現場の回答に応じて掘り下げる柔軟さも、有効性の判定には欠かせません。

内部監査員の独立性・力量と選定基準、役立つ資格の位置づけ

監査の信頼性は、誰が監査するかに大きく左右されます。ここでは内部監査員に求められる独立性と力量、そして資格の位置づけを整理します。

自部門を監査できない独立性の原則と小規模組織での確保策

内部監査員には客観性と公平性が求められ、自分が所属する部門や、自分が作ったルールを監査することは原則として認められません。自分の仕事を自分で評価すると、どうしても甘くなるためです。部門間で監査員を交差させる(情報システム部門が総務部門を、総務部門が情報システム部門を監査するなど)と独立性を確保しやすくなります。従業員数十名規模の小さな組織では「全員が当事者で独立した監査員を立てられない」という悩みが起きがちです。その場合は、当該業務に直接関与していない別部署の担当者を充てる、複数名でクロスチェックする、外部の専門家に内部監査を委託するといった方法で独立性を補います。

公的資格は必須でない前提と力量を裏づける研修・資格

内部監査員に公的資格は必須ではありません。規格が求めているのは「資格」ではなく「力量(コンピテンス)」で、ISO/IEC 27001の要求事項と自社の業務を理解し、適切に監査できる能力があれば足ります。とはいえ、力量を客観的に裏づける手段として研修や資格は有効です。内部監査員研修コースの受講記録は力量の証跡になりますし、ISMS審査員資格やISMS内部監査員資格(いずれもJRCA=マネジメントシステム審査員評価登録センターが運用する登録制度で、所定の研修コース修了と登録が必要)、CISA(公認情報システム監査人。ISACAが認定する国際資格)は、監査の専門性を示す指標になります。資格の有無より、要求事項を理解して的確に問いを立てられるかを重視して選定するのが実務的です。

2022年改訂(93管理策・気候変動)を内部監査へ反映する確認観点

ISO/IEC 27001:2013から2022年版への移行期限は2025年10月31日で既に経過しており、現在の内部監査は2022年版(JIS Q 27001:2023)を前提に行う必要があります。改訂内容を内部監査のチェックにどう織り込むかを具体的に示します。

4テーマ・93管理策とSoA再編に対する監査チェックの更新

2022年改訂で最も大きいのは附属書A(管理策)の再編です。従来の114項目・14分類が、93項目・4分類(組織的・人的・物理的・技術的)へ整理されました。内訳は58の更新、24の統合、11の新規追加で、削除された管理策はありません。本文の要求事項(箇条4〜10)に大きな変更はないため、内部監査の進め方そのものは変わりませんが、確認の「対象」は更新が必要です。具体的には、旧版の項番で作ったチェックリストや適用宣言書(SoA)が93管理策の構成に対応しているか、移行審査を終えて認証書が2022年版表記になっているかを、内部監査の確認項目に加えます。SoAが旧構成のまま放置されていないかは、優先して点検したい論点です。

新設11管理策と気候変動追補の運用確認ポイント

新規追加された11の管理策には、脅威インテリジェンス、クラウドサービス利用の情報セキュリティ、ICTの事業継続性のための備え、物理的セキュリティの監視、構成管理、情報の削除、データマスキング、データ漏えいの防止、活動の監視、ウェブフィルタリング、セキュアコーディングなどが含まれます。テレワークやクラウド活用の広がりを反映した内容で、内部監査では「これらの管理策をSoAで採用しているか」「採用しているなら運用記録があるか」を確認します。加えて2024年2月には、ISOのマネジメントシステム規格に共通する追補として「気候変動」の考慮が加わりました。2026年時点では環境活動の実施を強制するものではなく、気候変動が自社の課題として関連するかを検討し、その検討プロセスを記録に残しているかの2点が問われます。内部監査でも、この検討記録の有無を確認観点に含めておくと安全です。

監査の形骸化を防ぐ運用と被監査部門(受ける側)の事前準備

内部監査は、続けるうちに「毎年同じ指摘を繰り返すだけ」「指摘ゼロが目的化する」といった形で形骸化しがちです。最後に、よくある不適合と形骸化を防ぐ工夫、そして監査を受ける側の準備を整理します。

よくある不適合・指摘事項と形骸化の典型パターン

内部監査で頻出する指摘には、情報資産台帳が更新されていない、退職者のアカウントが残っている、規程はあるが現場が内容を知らない、リスクアセスメントが前年の使い回しになっている、是正処置が「注意した」で終わって根本対策に至っていない、といったものがあります。形骸化の典型は、チェックリストの項目を機械的に埋めるだけで深掘り質問をしない、毎年同じ部門を同じ観点でしか見ない、指摘を出すと角が立つからと甘く評価する、という3つです。防ぐには、有効性の判定(ルールが役立っているか)に意識的に時間を割き、監査の観点や担当部門を年ごとに入れ替え、良好事例も記録して「指摘=粗探し」という空気を変えることが効果的です。是正処置では応急対応と根本対策を分けて記録すると、再発防止の実効性が上がります。

受ける側(被監査部門)が当日までに整えておく記録と回答準備

監査を受ける部門が身構える必要はありませんが、当日に証拠をすぐ示せる状態にしておくと監査は短時間で済み、評価も正確になります。事前に整えておきたいのは次の記録です。

  • 担当業務に関する社内規程と、その最新版の保管場所
  • 運用の証跡(申請・承認の記録、アクセス権の棚卸し記録、教育の受講記録など)
  • 前回監査での指摘事項と、その是正状況がわかる資料
  • 直近で発生したインシデントやヒヤリハットと、その対応記録

回答のコツは、記憶で答えず記録で示すことです。「やっています」ではなく「この記録のとおり、いつ・誰が実施しました」と提示できると、適合の証拠になります。守れていない項目があった場合も、隠さず実態を伝えるほうが、的確な是正につながり結果的に組織を守ります。

よくあるご質問

ISMSの内部監査について、担当者から特に多く寄せられる質問をまとめました。実務で迷いやすい論点を中心に回答します。

ISMSの内部監査は年に何回実施すればよいですか?

ISO/IEC 27001の箇条9.2は「あらかじめ定めた間隔で」実施することを求めており、回数そのものは規定していません。実務上は年1回以上を基準とする組織が多く、外部審査の前に実施するのが一般的です。組織やリスクの規模に応じて、対象部門を分けて複数回に分割したり、リスクの高い領域を重点的に追加監査したりする運用も認められます。

内部監査員は社内の誰が担当してもよいのですか?

誰でもよいわけではなく、監査対象部門から独立していることが原則です。自分の所属部門や、自分が作成・運用に関与したルールを監査することはできません。部門間で監査員を交差させる、別部署の担当者を充てる、外部の専門家に委託するといった方法で独立性を確保します。公的資格は必須ではありませんが、要求事項を理解して的確に確認できる力量は必要です。

内部監査と外部審査(認証審査)はどちらを先に行いますか?

内部監査を先に行うのが一般的です。内部監査は組織自身による自己点検で、認証機関による外部審査の前に不適合や改善点を洗い出す役割を持ちます。先に内部監査で問題を是正しておくほど、外部審査での指摘リスクが下がります。内部監査の結果はマネジメントレビューを経て、外部審査に向けた改善の根拠資料にもなります。

内部監査で不適合が見つかった場合はどう対応しますか?

まず不適合報告書に、どの要求事項に対するどのような不適合かを客観的な事実として記録します。その後、応急的な修正にとどめず、原因を分析して再発を防ぐ是正処置(箇条10.2)を行います。責任者と期限を明確にし、是正の実施状況を次回監査で確認します。是正処置の状況はマネジメントレビューにも報告し、経営層の判断につなげます。

2022年版へ移行済みでも内部監査の進め方は変わりますか?

監査の進め方(計画・実施・報告・是正処置)そのものは大きく変わりません。本文の要求事項に大きな変更がないためです。一方で、確認する対象は更新が必要です。チェックリストや適用宣言書が93管理策・4分類の構成に対応しているか、新設された管理策の運用が始まっているか、気候変動を自社の課題として検討した記録があるかを、確認観点に加えてください。

関連記事

資料請求

RELATED POSTS 関連記事

一覧へ戻る