2026.06.22 IPO

ISMS審査機関とは?認証機関との違い・選び方とISMS-AC認定の確認ポイント【2026年版】

ISMS認証を取得するには、ISMS-ACなどの認定を受けたISMS審査機関(認証機関)に審査を依頼し、合格する必要があります。本記事では、審査機関と認定機関の違い、国内に20数社ある審査機関のどこをどう選べばよいか、初回・維持・更新という3年サイクルの審査の流れまでを整理します。あわせて、IT・DX企業がクラウドやアジャイル開発に通じた審査員を見極める判断軸と、価格だけで選んで失敗する典型パターンも具体的に示します。ISO/IEC 27001:2022(JIS Q 27001:2023)への移行期限が過ぎた現在の前提で、自社に合う審査機関を絞り込めるようになります。

目次

ISMS審査機関選びの結論|ISMS-AC認定と業種への理解で絞り込む判断軸(まとめ)

ISMS審査機関は、まず情報マネジメントシステム認定センター(ISMS-AC)の認定を受けているかで絞り込みます。ISMS-AC認定であれば、認証書にシンボルマークを掲載でき、ISMS-ACの認証取得組織検索にも掲載されます。ここが取引先からの信頼に直結します。

認定の有無で候補を絞ったら、次は自社の業種・技術への理解度で選びます。IT・DX企業であれば、クラウド(AWSなど)やアジャイル開発を前提に審査できる審査員がいる機関を優先します。費用は規模と適用範囲で大きく変わり、機関差は最大3倍ほど開くため、2〜3社から相見積もりを取って比較します。

価格の安さだけで決めると、現場を知らない審査員の的外れな指摘に振り回され、運用が形骸化します。審査機関は後から変更もできますが手間とコストがかかるため、最初の選定で業種理解と認定の確認を済ませておくのが結局は近道です。

ISMS審査機関とは|認証機関・審査登録機関と同義の第三者審査を担う機関

ISMS審査機関は、企業が構築したISMS(情報セキュリティマネジメントシステム)がISO/IEC 27001の要求事項に適合しているかを、独立した第三者の立場で審査・判定する組織です。検索時に複数の呼び名が出てくるため、まず用語を一致させておきます。

審査機関・認証機関・審査登録機関が同義になる理由と正式名称の整理

「ISMS審査機関」「認証機関」「審査登録機関」は、いずれも同じ組織を指します。正式名称は認証機関で、審査を行い認証登録までを担うことから「審査登録機関」、審査という行為に着目して「審査機関」とも呼ばれます。検索キーワードがこの3語に割れているのは、呼称が混在しているためで、内容に違いはありません。

一方で、後述するISMS-ACは「審査機関を審査する側」であり、まったく役割が異なります。この2つを混同しないことが、審査機関を理解する出発点です。

ISMS審査機関の役割|ISO/IEC 27001適合性の客観的判定と認証の発行

審査機関の中心的な役割は、組織のISMSが規格に適合しているかを客観的・公平に判定し、適合が認められれば認証を発行することです。自社で「ISMSを構築した」と宣言するだけでは、その有効性を外部に示せません。利害関係のない第三者が国際規格に基づいて審査することで、初めて客観的な裏付けが得られます。

審査機関は合否を出すだけでなく、審査を通じて改善すべき領域を専門的な視点で指摘します。つまり「合格証の発行者」であると同時に「外部からの点検役」でもある、という二面性を持ちます。

ISMS-AC認定の審査機関は約30社|情報が20〜60社と割れる背景

ISMS-ACの認定を受けた審査機関は、2026年初頭時点でおおむね27社です。情報マネジメントシステム認定センターのWebサイトで「ISMS認証機関一覧」として公開されており、最新の機関数はそこで確認できます。

記事によって「20以上」「約30社」「約60社」と数字が割れているのは、集計時点が古いか、海外の認定機関から認定を受けた国内機関まで含めて数えているためです。ISMS-AC認定に限れば20数社という規模感を押さえておけば、選定の母集団を見誤りません。

認定機関ISMS-ACと審査機関の違い|認定・認証・取得組織の三層構造

ISMS認証制度は「認定機関」「認証機関(審査機関)」「取得組織」の三層で成り立ちます。審査機関を正しく選ぶには、この階層で誰が誰を審査しているのかを理解しておく必要があります。

認定・認証・取得組織の三層構造|誰が誰を審査するのか

三層の関係は次のとおりです。認定機関であるISMS-ACは、審査機関がISO/IEC 17021-1などの国際基準に沿って公平に審査できる能力を持つかを評価し、「認定」を与えます。その認定を受けた審査機関(認証機関)が、企業のISMSを「審査」し、適合すれば「認証」を発行します。

  • 認定機関(ISMS-AC):審査機関の審査能力・公平性を評価し認定する
  • 認証機関=審査機関:企業のISMSを審査し、認証を発行する
  • 取得組織:審査を受け、ISMS認証を取得する企業

企業が直接やり取りするのは審査機関です。ISMS-ACと契約して審査を受けるわけではない点を取り違えないようにします。

ISMS-AC認定の有無で変わる点|シンボルマーク使用と組織検索への掲載

審査機関には、ISMS-ACの認定を受けて審査を提供している機関と、そうでない機関があります。ISMS-AC認定の機関で取得すると、具体的に次の差が生まれます。

  • 認証書にISMS-ACの認定シンボルマークを掲載でき、対外的な信頼性を高められる
  • ISMS-ACの「ISMS認証取得組織検索」に掲載され、取引先が公式サイトで自社を確認できる

逆にISMS-AC非認定の機関で登録した場合、認証自体は表示できても、ISMS-ACの認定シンボルは使えず、認証取得組織検索にも掲載されません。入札要件や取引先の確認で「ISMS-AC認定の認証であること」を求められる場面は多く、国内で取引する企業は原則としてISMS-AC認定の機関を選ぶのが無難です。

海外認定機関UKAS・ANAB認定の審査機関|選択肢になる場面と注意点

国内には、英国のUKASや米国のANABといった海外の認定機関から認定を受けて審査を行う機関もあります。グローバルに事業を展開し、海外の取引先や親会社が特定の認定(UKASなど)を求めるケースでは、これらが選択肢になります。

ただし国内取引が中心であれば、海外認定の審査機関を選ぶ必然性は乏しくなります。ISMS-AC認定でないと前述のシンボル使用や組織検索掲載のメリットを得られないため、「海外認定だから優れている」と短絡せず、自社の取引相手が何を求めるかで判断します。

審査機関が行う審査の種類|初回・維持・更新で回る3年サイクルの全体像

審査機関の審査は一度きりではありません。ISMSは認証の有効期間を3年とし、その間に複数の審査が組み込まれます。選定段階では、初回だけでなく3年分の負荷を見積もる視点が要ります。

初回認証審査の2段階|第1段階の文書審査と第2段階の現地審査

初回の認証審査は2段階で行われます。第1段階は文書審査が中心で、情報セキュリティ方針、リスクアセスメント手順、適用宣言書などの文書が規格要求事項を満たしているかを確認します。ここで大きな不備があれば、第2段階へ進む前に是正を求められます。

第2段階は現地(またはリモート)での審査です。文書どおりにISMSが運用されているかを、記録や担当者へのヒアリングで確認します。適用範囲の決定後であれば、ルールが完成する前でも審査の申し込みは可能です。全体としては、申込から認証取得まで半年以内に収まることが多くなっています。

維持審査と更新審査の位置づけ|選定時に見積もる年間の審査負荷

認証取得後は、1年ごとに維持審査(サーベイランス審査)、3年経過時に更新審査を受けます。維持審査は要求事項や管理策の一部に焦点を当てた確認で、更新審査はISMS全体の運用状況を改めて評価する、より範囲の広い審査です。

つまり審査機関とは3年で4回(初回+維持2回+更新1回)関わることになり、そのたびに費用と工数が発生します。選定時には初回費用だけでなく、維持・更新まで含めた総額と、毎年の準備負荷を見積もっておく必要があります。取得後の維持・更新審査をどう年間スケジュールに落とし込むかは、ISMS運用の年間スケジュールと内部監査・更新審査への備えで具体的に解説しています。

不適合が出ても取得は可能|重大・軽微・改善の機会の3区分

審査で出る指摘は、おおむね3つに分かれます。重大な不適合、軽微な不適合、改善の機会(観察事項)です。表現は審査機関によって多少異なります。

重大な不適合が出ても、その場で不合格になるわけではありません。必要な是正を行い、要求事項を満たせば認証は取得できます。「審査に落ちる」ことを過度に恐れる必要はなく、指摘を改善につなげられるかが本質です。審査機関を選ぶ際は、指摘の出し方が一方的でなく、改善提案まで行ってくれるかも見ておくとよいでしょう。

審査機関ごとに違う4要素|費用・評価の視点・審査員の専門性・スピード

ISMS-AC認定であれば審査基準そのものは共通です。それでも、費用・評価の視点・審査員・対応スピードは機関ごとに差があります。同じ認証でも、そこに至る過程が変わると考えてください。

審査費用の相場と機関差|規模別の目安と最大3倍に開く価格幅

審査費用は、組織の規模・適用範囲・依頼する機関で変動します。公開されている目安としては、次のような水準が示されています。

組織規模 初回審査費用の目安
10名規模 約40〜70万円
100名規模 約90〜130万円

同じ条件でも、安い機関と高い機関では3倍近い差が出る場合があります。一方で、安すぎる見積もりは審査工数の不足や対応の薄さにつながることもあります。金額の絶対値だけでなく、工数・サポート範囲とセットで2〜3社を比較するのが妥当です。なお見積もりには適用範囲の説明が必要で、相見積もりには相応の準備時間がかかる点も見込んでおきます。

評価の視点の違い|規格準拠性の重視と実務整合性の重視、外資系の傾向

審査機関ごとに「何を重く見るか」が異なります。大きくは、規格の文言への厳密な準拠を最優先する機関と、業務効率を阻害しない範囲で実効性のあるリスク管理ができているかを重視する機関に分かれます。外資系の機関はグローバル基準に忠実で、厳格・客観的な審査を行う傾向があります。

ここで重要なのは、機関に優劣があるわけではないという点です。いずれも正式な認定を受けた適正な組織です。問題は相性で、業務効率を保ちつつセキュリティを強化したい企業が、過度に準拠性を重んじる機関を選ぶと、現場に過剰なルールを課されて運用が形骸化しかねません。

審査員の専門性|自社の業種・技術への理解が指摘の質を左右する

審査の質を実際に決めるのは、現場に来る審査員です。審査員が自社の業界用語や業務プロセスを理解していないと、説明に膨大な時間を要し、的外れな指摘で現場が混乱します。逆に業種に精通した審査員なら、本質的な指摘や実務的な改善提案が期待できます。

IT・Web系であれば、システム開発手法やクラウドインフラへの理解がある審査員がいるかが分かれ目になります。契約前に、自社と同業種・同規模の審査実績を尋ね、どのような審査員が担当するかを確認しておくとよいでしょう。

IT・DX企業のISMS審査機関の選び方|クラウドと最新規格への対応で見極める

クラウド前提でシステムを構築し、アジャイルに開発するIT・DX企業では、一般的な選定基準に加えて確認すべき観点があります。ここでは判断を言い切る形で、優先順位とともに整理します。

クラウド・アジャイル開発に通じた審査員のいる機関を選ぶ理由

最初に確認すべきは、クラウドとアジャイル開発を理解した審査員がいるかです。AWSやSaaSを前提とした責任共有モデル、CI/CDパイプライン、コンテナ環境を「紙の規程」だけで審査しようとする審査員に当たると、運用実態と噛み合わない指摘が増えます。

IT・DX企業では、この一点を費用より優先してよい場面が多くあります。クラウド構成図や開発フローを見せたうえで、どのような観点で審査するかを事前に質問し、技術的な対話が成立する機関を選びます。

ISO/IEC 27001:2022とISO/IEC 27017への対応力|移行期限後の前提

2022年改訂版(ISO/IEC 27001:2022、附属書Aの93管理策)への移行期限は2025年10月31日で終了しています。これから取得する企業は当然2022年版が前提で、現行の日本規格はJIS Q 27001:2023(ISO/IEC 27001:2022に対応)です。あわせて、気候変動への配慮を求める追補1(JIS Q 27001:2025、ISO/IEC 27001:2022/Amd 1:2024、2025年5月発行)が2023年版と併読する形で適用されます。

クラウドサービスを提供・利用する企業は、ISMSに上乗せするISO/IEC 27017(JIS Q 27017)のクラウドセキュリティ認証を同時に検討する価値があります。審査機関を選ぶ際は、27001:2022の新しい管理策や27017の審査実績があるかを確認し、最新の規格構成に対応できる機関に絞り込みます。

避けたい審査機関の選び方|価格偏重・適用範囲の誤りという失敗パターン

採用すべきでない選び方を、条件付きで明確にしておきます。まず、見積もりの安さだけで決める選び方は避けるべきです。安価な機関は審査工数が少なく、業種理解の薄い審査員が割り当てられやすく、結果として的外れな指摘や形骸化を招きます。

次に、適用範囲を曖昧にしたまま審査機関を決めるのも失敗の典型です。対象とする組織・拠点・サービスの範囲が固まらないと、見積もりも審査もぶれます。「とりあえず受けてみて、合わなければ変える」という進め方も、変更コストを考えると非効率です。順序としては、適用範囲の確定 → 業種理解とISMS-AC認定の確認 → 相見積もり、で進めます。

審査機関の変更(移転)の可否|手間とコストを踏まえた判断基準

現在の審査機関と合わないと感じた場合、他機関への変更(移転)は可能です。審査基準は共通のため、移転で認証が無効になることはありません。

ただし変更には、新たな契約手続き、引き継ぎ、移転時の審査などの手間とコストがともないます。維持審査や更新審査のタイミングに合わせて移すなど、負荷を抑える進め方が現実的です。頻繁な変更を前提にするより、初回の選定を丁寧に行うほうが総コストは下がります。

よくある質問

ISMS審査機関について、検索でよく挙がる疑問に簡潔に答えます。

ISMSの審査機関はどこにありますか?

ISMS-ACの認定を受けた審査機関(認証機関)が国内に20数社あり、その一覧は情報マネジメントシステム認定センター(ISMS-AC)のWebサイトで「ISMS認証機関一覧」として公開されています。海外の認定機関から認定を受けた国内機関も別に存在します。まずはISMS-ACの一覧から、自社の業種に対応できる機関を確認するのが基本です。

ISMS審査機関は何をするのですか?

審査機関は、企業が構築したISMSがISO/IEC 27001の要求事項に適合しているかを第三者の立場で審査し、適合が認められれば認証を発行します。初回認証審査(文書審査と現地審査の2段階)に加え、取得後は毎年の維持審査と3年ごとの更新審査を担当します。審査を通じて改善点を指摘する役割も持ちます。

認証機関と認定機関の違いは何ですか?

認証機関(審査機関)は企業のISMSを審査して認証を出す機関で、認定機関はその認証機関が公平・適切に審査できるかを評価し認定する上位の機関です。日本ではISMS-ACが代表的な認定機関にあたります。企業が直接契約して審査を受けるのは認証機関で、認定機関と契約するわけではありません。

ISMS審査機関の一覧はどこで確認できますか?

ISMS-AC認定の機関は、情報マネジメントシステム認定センターの公式サイトにある「ISMS認証機関一覧」で確認できます。機関数は変動するため、選定時には公式の最新一覧を見るのが確実です。各機関の費用・実績・対応スピードは個別に問い合わせて比較します。

ISMS審査機関はどうやって選べばよいですか?

まずISMS-AC認定の有無で絞り込み、次に自社の業種・技術への理解度で選びます。IT・DX企業ならクラウドやアジャイル開発に通じた審査員がいるかを重視し、ISO/IEC 27001:2022や27017への対応力も確認します。費用は機関差が大きいため、適用範囲を固めたうえで2〜3社から相見積もりを取って比較するのが定石です。

関連記事

資料請求

RELATED POSTS 関連記事

一覧へ戻る