ISMS認証の取得・維持にかかる費用｜審査・コンサル・人件費の内訳と相場【2025年版基準】

ISMS認証（ISO/IEC 27001）の費用は、認証機関へ払う審査費用、コンサルティング費用、そして社内担当者の人件費という性質の異なる3つの支出に分かれます。さらに取得時だけでなく、毎年の維持審査と3年ごとの更新審査でも費用が発生するため、「いくらかかるか」は単年ではなく3年サイクルで見ないと実態を取り違えます。この記事では、従業員数20〜350名の公開事例を使った規模別の相場、維持審査・更新審査の金額の決まり方、コンサル費用の取得時と運用時の差、そして適用範囲の設計で費用を抑える実務までを、現行基準であるISO/IEC 27001:2022（邦訳JIS Q 27001:2025）を前提に整理します。費用の見積もりが進まない、稟議で総額を聞かれて答えに詰まる、という担当者が予算の輪郭をつかめる内容です。

まとめ：ISMS費用は3区分と3年サイクルで把握し適用範囲で最適化

ISMS認証の費用は「審査費用・コンサル費用・社内人件費」の3区分で捉えると見通しがつきます。必ずかかるのは審査費用と人件費で、コンサル費用は契約上は任意です。審査費用は審査員の1日単価に審査工数を掛けて決まり、その工数の算定ルールは国際規格ISO/IEC 27006で標準化されています。つまり認証機関を変えても工数はほぼ動かず、差が出るのは1日単価とサービス内容だという点が、機関選びの出発点になります。

金額の目安は、初回審査が50万〜150万円、毎年の維持審査が取得審査の約3分の1、3年ごとの更新審査が約3分の2です。3年間の審査費用を合計すると初回審査のおよそ2〜2.5倍に達します。費用を最も大きく動かす変数は適用範囲（スコープ）で、対象拠点・部門・委託する開発環境を絞れば工数が下がり、審査費用も下がります。現行基準は2022年版で、2013年版からの移行期限である2025年10月31日はすでに経過しました。これから取得する組織は2022年版で初回審査を受けることになり、既存の取得組織は2024年追補（気候変動）への対応が維持・更新審査で問われます。詳しい根拠と規模別の内訳は以降の章で示します。

ISMS認証の費用を構成する審査費用・コンサル費用・社内人件費の3区分

費用の全体像は、まず性質で3つに分けると整理しやすくなります。発生する支出の種類が多く、しかも時期がばらばらに来るため、金額の相場だけを並べても自社の予算感はつかめません。

必須の外部コストである審査費用と任意のコンサル費用の線引き

審査費用は、第三者認証機関による審査を受けるために必ず払う費用です。自力で取得しても外部に委託しても避けられません。一方でコンサルティング費用は、文書づくりやリスクアセスメントの支援を専門会社に依頼したときだけ発生する費用で、契約上は任意です。ただし初回取得は規格解釈や文書整備の負担が大きく、実務上はコンサルを使う組織が多数を占めます。この2つは「払わざるを得ない費用」と「効率を買う費用」として区別しておくと、削減を検討するときに迷いません。

支出に見えない最大の変数となる社内人件費の正体

3区分のうち見落とされやすいのが社内人件費です。担当者の給与は通常どおり支払われるため「新たな支出がない」と扱われがちですが、本来業務から割いた工数は実質的なコストです。たとえば月給30万円の社員が半年間ISMS構築に専念すれば、30万円×6か月で180万円分の人件費が取得に乗っている計算になります。文書整備、内部監査の準備、従業員教育、審査対応まで担当者の作業は多岐にわたります。コンサルを使わない自社取得ほどこの隠れたコストが膨らみ、結果として総額がコンサル利用時を上回ることも起こります。

取得時・維持時・更新時で発生時期がずれる費用の時系列

同じ「ISMS費用」でも、発生する時期で意味が変わります。取得時には初回審査費用とコンサル費用、構築のための人件費が集中します。2年目・3年目は維持審査費用と運用の人件費が毎年かかり、3年目には更新審査費用が上乗せされます。見積書に書かれているのは多くの場合この初回分だけで、維持・更新の費用は別物として後から効いてきます。予算を立てるときは単年ではなく、最低でも3年分を時系列で並べるのが正確な第一歩です。

審査費用がISO/IEC 27006の工数算定で決まり1日単価で差が出る仕組み

審査費用は「審査員の1日単価 × 審査工数（審査員が要する人日）＋ 交通費などの経費」で決まります。なぜ認証機関によって金額が違うのか、どこを比べれば安くできるのかは、この式の中身を分解すると見えてきます。

審査工数を左右する従業員数・拠点数・適用範囲の3要因

審査工数を押し上げるのは、従業員数、拠点数、そして適用範囲の広さです。全社を対象にするのか、特定の事業部や1拠点に絞るのかで工数は大きく変わります。取り扱う情報の機密性や事業リスクの高さも、確認すべき管理策を増やして工数に効きます。逆にいえば、この中で組織側がコントロールできるのは適用範囲の設定です。まず対象を絞って認証を取り、後から範囲を広げるスモールスタートは、初期の審査費用を直接下げる手段になります。

ISO/IEC 27006で工数が規格化され機関差が1日単価に収束する理由

審査工数の算定ルールは、認証機関が自由に決めているわけではありません。国際規格ISO/IEC 27006が、組織規模に応じた審査工数の基準を定めており、各機関はこれに沿って工数を出します。つまり同じ条件なら、A社でもB社でも必要な人日はほぼ同じになります。それでも見積金額に差が出るのは、審査員の1日単価を各機関が独自に設定できるためです。ISMSを審査できる認証機関は国内に約60社あり、同じ適用範囲で相見積もりを取れば、比べているのは実質的に1日単価とサービス内容だと分かります。「なんとなく安い機関」を探すのではなく、工数が固定されている前提で単価を比較するのが合理的です。

従業員数20〜350名の規模別に見るISMS取得費用の相場と内訳

相場は幅で語られがちですが、規模別の実額を見ると感覚をつかみやすくなります。ここでは小規模組織の目安と、公開されている実例の数字を示します。

従業員50名未満の小規模組織における取得総額の目安

従業員50名未満を想定すると、初回の審査費用は交通費を除いて50万〜100万円程度が一つの目安です。審査費用だけで見れば50万〜150万円のレンジに収まるケースが多く、ここにコンサル費用や社内人件費を足すと、取得時の総額は100万円を超えてくる組織が珍しくありません。逆に、適用範囲を1拠点・少人数に絞り、文書整備を内製でこなせる体制があれば、審査費用を相場の下限近くに抑えることも可能です。総額が大きく振れるのは、コンサルをどこまで使うかと、人件費をいくらと見るかの2点に左右されるためです。

公開事例で見る23名・20名・350名の初回審査費用の実額

認証機関選定を支援する事業者が公開している実例は、規模と金額の関係を具体的に示しています。情報通信業・1サイト・23名のケースでは、初回審査費用が約55万円、維持審査が約19万円、更新審査が約33万円でした。ソフトウェア開発・3サイト・20名では初回約57万円、維持約19万円、更新約36万円です。これが情報通信業・7サイト・350名になると、初回約133万円、維持約63万円、更新約93万円へと跳ね上がります。拠点数と人数が増えるほど初回・維持・更新のいずれも比例して上がる構造が読み取れます。なお同じ案件でも見積額には機関ごとに幅があり、先の23名のケースでは47万〜80万円の開きがありました。1社の見積だけで判断しない理由がここにあります。

いずれも交通費・宿泊費は別途で、遠方の拠点を含めると現地審査の旅費が上乗せされます。表の金額は審査費用のみで、コンサル費用と人件費は含みません。

取得後に毎年かかる維持審査と3年ごと更新審査の費用・3年総額

ISMS認証は取得して終わりではありません。認証の有効期間は3年で、1年目・2年目に維持審査（サーベイランス審査）、3年目に更新審査（再認証審査）を受け続けます。維持費用を取得費用と切り離して見積もると、3年目以降に予算が足りなくなります。年間運用の進め方そのものはISMS運用の年間スケジュールと内部監査の実務手順で詳しく扱っているため、本章では費用に絞って整理します。

取得審査の1/3が目安となる毎年の維持審査費用

維持審査は、ISMSが取得後も有効に機能しているかを年1回確認する審査です。全項目ではなく重点を絞って確認するため、工数は初回審査の60〜70%程度、費用は取得審査の約3分の1が目安とされます。取得審査が100万円だった組織なら、毎年30万円前後を見込む計算です。審査は審査員1〜2名で1〜2日程度が一般的で、前回の指摘事項への是正状況や、変更があった部分が重点的に見られます。金額は小さくても毎年確実に発生する固定費だと捉えるのが安全です。

取得審査の2/3が目安となる3年ごとの更新審査費用

更新審査は3年に1度、認証の有効期限が切れる前に受けます。過去3年間の運用記録すべてが対象になるため、維持審査より工数が増え、費用は取得審査の約3分の2が目安です。取得審査100万円の組織なら60万円前後となります。規程類も維持審査より踏み込んで確認されるため、文書の最新化と記録の整備を2年目のうちから進めておくと、当日の負荷と是正の手戻りを平準化できます。

初回の2〜2.5倍に達する3年累計と予算化の単位

取得の翌年から、維持審査・維持審査・更新審査と続くため、3年間の審査費用の合計はおおむね初回審査費用の2〜2.5倍になります。初回が100万円なら、3年累計では200万〜250万円規模を見ておくのが現実的です。予算を単年で組むと、2年目以降に「想定していなかった出費」が毎年顔を出すことになります。稟議や予算申請は単年ではなく3年累計で試算する習慣をつけると、見通しが安定します。5年目以降も維持審査と更新審査は同じサイクルで続く点も忘れないでください。

取得時と運用時で相場が変わるコンサルティング費用の見極め方

コンサル費用は任意とはいえ、初回取得では多くの組織が利用します。注意したいのは、取得フェーズと運用フェーズで料金の性質がまったく違うことです。

取得フェーズのフルサポートとスポット支援の料金差

取得時のコンサルは、現状分析からリスクアセスメント、規程・手順書の作成支援、内部監査員の育成、審査対応までを一括で請け負うフルサポートと、特定の工程だけ手伝うスポット支援に分かれます。フルサポートを使うと審査費用とは別にまとまった費用がかかり、人件費も含めた取得総額が100万円を超える構成になりやすい一方、社内工数を大きく圧縮できます。自社にISMSの知見がある担当者がいるなら、文書レビューや内部監査だけをスポットで頼み、費用を抑える選び方も成立します。どこまでを外部に出すかで総額が動くため、「フルか部分か」を最初に決めるのが見積もりの軸になります。

運用フェーズで年30万〜50万円規模になる継続支援

取得後も運用を委託する場合、継続支援の相場は年間30万〜50万円程度が一つの水準です。月額のサブスクリプション型で数万円台から提供する事業者もあり、維持審査前の記録点検や是正の助言を受けられます。運用支援を使うかどうかは、内部監査やマネジメントレビューを自社だけで回せるかで判断します。取得時はフルサポート、運用は内製化して継続コンサルを外す、という切り替えは、維持費用を抑える定番の組み立てです。

適用範囲の設計・相見積もり・補助金でISMS費用を抑える実務

費用は「払う額を値切る」より「工数の前提を変える」ほうが大きく動きます。順に効果の大きいものから示します。

初期コストを最も大きく動かす適用範囲のスモールスタート

最も効くのは適用範囲の設計です。審査工数は対象の人数・拠点・業務範囲で決まるため、全社一括ではなく、認証が必要な事業部や拠点に絞って取得すれば、初回審査費用とその後の維持・更新費用がまとめて下がります。取引先要件で「特定サービスのISMS認証」が求められているなら、そのサービスを担う組織だけを範囲にするのが合理的です。IT・DX系の事業者では、クラウド基盤や受託開発の環境、再委託先まで範囲に含めるかどうかが工数を大きく左右します。守るべき情報資産を落とさない範囲で、最初は小さく取り、必要に応じて拡大する設計が、総コストの観点では有利です。

1日単価を比較する相見積もりと自治体の補助金・助成金

審査工数がISO/IEC 27006で固定されている以上、相見積もりで比べるべきは1日単価とサービス内容です。同じ適用範囲・同じ条件を提示して複数の認証機関から見積もりを取り、単価と対応品質を並べて判断します。あわせて、本社所在地の自治体によっては、ISMS新規取得の審査費用やコンサル費用に対して補助金・助成金を出している場合があります。金額や対象は自治体ごとに異なり、新規取得時のみが対象のことが多いため、取得を決めた段階で自治体の制度を確認しておくと取りこぼしを防げます。

自社取得とコンサル委託を分ける判断基準と予算化の失敗パターン

最後に、費用をめぐる判断で迷いやすい論点に踏み込みます。結論から言えば、初回取得はコンサル利用、運用は内製化が多くの中小組織にとって現実的です。

初回はコンサル・運用は内製化が現実解になる条件

初回取得を完全に自力で進められるのは、ISMSや他のマネジメントシステムの実務経験者が社内にいて、文書整備と内部監査に十分な工数を割ける場合に限られます。経験者がいない組織が自力取得を選ぶと、規格解釈と文書作成に時間がかかって取得が長期化し、人件費という隠れコストがコンサル費用を上回りがちです。一方で運用フェーズは、年間スケジュールが定まれば内部監査・教育・マネジメントレビューを自社で回せるようになります。「取得は専門家の手を借り、運用は内製化して継続コンサルを外す」という組み立てが、品質と総コストのバランスを取りやすい解です。逆に、知見がないのに取得まで全部内製しようとするのは、費用を抑えるどころか膨らませる典型的な失敗です。

2022年版・気候変動追補への対応が維持コストに与える影響

現行の審査基準はISO/IEC 27001:2022で、邦訳は気候変動の追補（ISO/IEC 27001:2022/Amd.1:2024）を反映したJIS Q 27001:2025が2025年5月20日に公示されています。附属書Aの管理策は旧版の114・14分類から93・4分類へ再編されました。2013年版からの移行期限である2025年10月31日はすでに過ぎており、これから取得する組織は2022年版で初回審査を受けます。既に認証を持つ組織は、気候変動が自社にとって関連する課題かどうかの判断を含め、追補への対応状況が維持審査・更新審査で確認されます。規格対応そのものは審査費用を直接増やすものではありませんが、文書や適用宣言書の更新作業が発生するため、運用フェーズの人件費に影響します。維持コストを見積もるときは、この規格対応の工数も計算に入れておくのが安全です。

維持費用の計上漏れと安さ基準での機関選定という失敗例

予算化で最も多い失敗は、初年度の見積書だけを根拠に予算を組み、2年目以降の維持審査・更新審査費用を計上し忘れるパターンです。見積書には初回分しか書かれていないことが多いため、3年累計で初回の2〜2.5倍になる前提を最初から組み込んでおく必要があります。もう一つの失敗は、1日単価の安さだけで認証機関を選ぶことです。工数が規格で固定されている以上、極端に安い単価には対応品質やサポート体制の差が隠れていることがあり、その後3年以上付き合う相手として見ると割に合わないことがあります。単価・実績・対応スピードを合わせて見るのが、結果的にコストを抑える選び方です。

ISMS認証の費用に関するよくある質問

ISMS認証の費用について、検索や問い合わせで特に多い5つの疑問に簡潔に答えます。

ISMS認証の取得費用は結局いくらが相場ですか？

従業員50名未満の組織なら、初回審査費用は交通費を除いて50万〜150万円程度が目安です。ここにコンサル費用と社内人件費が加わり、取得時の総額は100万円を超えるケースが多くなります。金額は適用範囲（人数・拠点・業務）で大きく変わるため、まず範囲を決めてから複数の認証機関に見積もりを依頼すると、自社の正確な費用感がつかめます。

ISMS認証の維持費用は年間どれくらいかかりますか？

取得後は毎年、維持審査費用がかかります。目安は取得審査費用の約3分の1で、取得審査が100万円なら年30万円前後です。これに運用の人件費が加わります。3年目には更新審査費用（取得審査の約3分の2）が上乗せされ、3年間の審査費用の合計は初回審査費用のおよそ2〜2.5倍になります。

ISMSのコンサルティング費用の相場はどのくらいですか？

取得時のフルサポートは審査費用とは別にまとまった費用がかかり、人件費を含めた取得総額が100万円を超える構成になりやすい水準です。運用フェーズの継続支援は年間30万〜50万円程度が目安で、月額数万円台から提供する事業者もあります。社内に知見があれば、必要な工程だけ依頼するスポット支援で抑えることも可能です。

ISMS認証の費用を抑える方法や補助金はありますか？

最も効果が大きいのは適用範囲を絞るスモールスタートです。審査工数が下がり、初回・維持・更新のすべての費用が下がります。次に、審査工数はISO/IEC 27006で標準化されているため、同条件で相見積もりを取り1日単価を比較します。さらに、本社所在地の自治体によっては新規取得時の審査費用やコンサル費用への補助金・助成金があるため、取得前に確認するとよいでしょう。

ISMSとPマークではどちらの取得・維持費用が安いですか？

対象範囲が異なるため単純比較はできません。ISMSは情報資産全般を対象とする国際規格、Pマークは個人情報に特化した国内制度です。費用は適用範囲や審査機関で変動するため、金額だけでなく「取引先がどちらを求めているか」「守りたい情報が個人情報中心か情報資産全般か」で選ぶのが先決です。制度の違いと選び方はプライバシーマーク（Pマーク）の概要と対象範囲の解説を参考にしてください。

関連記事

• ISMS運用とは？2022年改訂後のPDCA・内部監査・更新審査まで実務手順を解説：本記事が「いくらかかるか」を扱うのに対し、維持審査・更新審査を含む年間運用の進め方を実務目線で解説
• プライバシーマーク（Pマーク）とは：ISMSと並んで検討されることの多いPマーク制度の概要と、個人情報保護に特化した対象範囲を整理