内部監査の担当者の条件についてご存じですか?
ISMSでは、内部監査を行い、ルールが適切に運用されていることをチェックする必要があります。
しかし、担当者になるための条件があるので、誰でも担当できるというわけではありません。
今回の記事では、
- 内部監査の流れ
- 内部監査を担当する条件
- 内部監査の担当者の仕事
について解説していきます。
目次
ISMSの内部監査とは
ISMSの内部監査とは自社のルールや取り扱っている文書がISOの要求事項に沿っているかどうか、社員が自社のルールに則って業務を遂行しているかをチェックすることです。
内部監査の際は
・ルールに則っているか
・今のルールが有効か
の観点が必要となります。
内部監査の結果やマネジメントレビューによって ISMS に改善必要と判断された場合は、随時対策を取らなければなりません。
内部監査は ISMS 認証取得および認証の維持に必要となります。
ISMSについて分からないことや心配なことがあるという方に向けて、無料セミナーを実施しております。2025年9月よりハイブリッドセミナーに生まれ変わり、全国どこからでもお気軽にご参加いただけます!
ISMSの内部監査報告書とは
内部監査報告書は、監査結果をまとめた文書であり、「マネジメントレビュー(代表者による見直し)」において重要な資料となります。
作成する際は、「どの部署で」「どのルールが守られず、手順漏れが発生したのか」を明確にし、「報告を受ける経営層の視点」を意識することが大切です。
この報告書をもとに、経営層は 「自社のISMS(情報セキュリティマネジメントシステム)は現状のままでよいのか」「どこに問題があり、どのように修正すべきか」 を判断します。
そのため、報告内容が曖昧であったり、情報が不足していると、ISMSの適切な見直しが困難になります。
また、内部監査報告書では 個人の資質や責任を追及するのではなく、マネジメントプロセスの問題点を冷静に指摘 することが重要です。
事実に基づいた記述を徹底し、組織全体の改善につなげることを目的として作成しましょう。
具体的に記載する内容は、以下のとおりです。
- 監査対象部門
- 担当の内部監査員
- 実施日時
- 内部監査の内容
- 結果(指摘事項や改善提案事項の有無など)
また、内部監査の結果 不適合が判明した場合は、「不適合報告書」を作成 します。
不適合報告書とは、発見された指摘事項ごとに、どのような不適合があったのかを詳細に記録した文書です。
この報告書をもとに、被監査部門の部門長が適切な改善指示を行います。
不適合報告書作成のポイント
「具体的に記載すること」 が重要です。
不適合の深刻度を正しく判断できるよう、明確な表現を心がけましょう。
不適切な報告例(曖昧な表現)
- 「ISMS基本方針が理解されていない」
- 「記録が保管されていない」
- 「手順が不十分だった」
このように曖昧な表現では、改善すべき対象が不明確になり、部門責任者が適切な対応を取ることが難しくなります。
たとえば、「理解できていないのは誰なのか?」「保管されていないのはどの記録なのか?」といった詳細が明記されていなければ、適切な改善指示を出せません。
適切な報告のポイント
- 改善のプロセスを意識し、具体的に記載する
- 管理者が的確な改善指示を出しやすい内容にする
上記に沿って進めていくのが望ましいです。
内部監査の進め方
ISMS規格では、会社のルールが要求事項を満たしているか、ルール通りに実施されているかどうかを、内部監査によってチェックする必要があります。
しかし、要求事項では具体的な内容の規定がありません。
そこで、ここでは内部監査の進め方について紹介します。
内部監査は、次のような流れで実施します。
- 計画を立てる
- 準備をする
- 実施する
- 結果をまとめて報告する
- 不適合があれば是正処置をする
1計画を立てる
「誰が」「いつ」「どの部署に」「どのような項目で」チェックをしに行くかをあらかじめ決めておく必要があります。
2 準備をする
監査計画が決まったら、監査に必要なチェック項目などを作成しましょう。
特に気を付けておきたい項目がある場合は、チェックリストに盛り込んでおくとより良い内部監査になります。
3実施する
作成したチェックリストに沿って内部監査を実施します。
チェックリストに沿った監査証拠を集めましょう。
監査では適合も不適合も両方証拠を残していく必要があります。
4結果をまとめて報告する
監査が完了したら、結果を監査報告書としてまとめましょう。
また監査結果を社内トップに報告する必要があります。
監査報告書はマネジメントレビュー時に、ISMSの最適化の判断材料として使われます。
5不適合があれば是正処置をする
監査結果をもとに不適合がある場合は各部署に対して是正通告を行い、各部署はそれに応じる必要があります。
内部監査に必要な3つの記録
内部監査を実施するにあたり、以下の3つの要素が必要となります。
- 内部監査計画
- 内部監査チェックリスト
- 内部監査報告書
また、監査の過程で不適合が発生する可能性があるため、不適合報告や是正処置に関する記録も、監査時に準備することがあります。
1内部監査計画
ISMSの内部監査は、事前に計画を立てて実施するものであり、抜き打ちでは行いません。
監査の実施時期、担当者、対象部門、監査範囲を事前に決定し、計画的に進めることが求められます。
2内部監査チェックリスト
内部監査チェックリストは、監査を実施する際に内部監査員が使用するツールです。
このチェックリストは、ISMSの監査を行った記録としても機能し、監査の対象やポイントを明確にすることで、監査の効率化に寄与します。
3内部監査報告書
内部監査報告書は、ISMS内部監査の結果をまとめた文書記録です。
この報告書には、監査の実施結果、発見された問題点、提案された改善策、その他の重要事項を記載し、継続的な改善につなげるための資料として活用します。
内部監査を担当する条件
ここでは、内部監査の担当者になるための条件について解説します。
条件は、以下の4つです。
- ISMS規格「JIS Q 27001」を理解している
- 組織のルールを理解している
- 内部監査の対象となる業務について把握している
- 内部監査に関する知識を持っている
内部監査の担当者は、第三者の視点から監査する必要があります。
そのため、内部監査を行う際は、自分の部署以外の監査を担当しましょう。
内部監査の担当者
内部監査を行う担当者には、
- 内部監査責任者
- 内部監査員
の2つがあります。
それぞれについて見ていきましょう。
内部監査責任者
内部監査責任者は、内部監査におけるリーダーです。
内部監査全体を取り仕切り、監査の報告書などを作成します。
主な仕事は、
- 内部監査の計画を作成する
- 内部監査全体の統括
- 内部監査の報告書を作成する
- 監査員の選定・教育
などです。
内部監査員
内部監査員は、内部監査責任者の指示を受け、実際に監査を実施する人です。
主な仕事は、
- 内部監査チェックリストを作成する
- チェックリストに沿って内部監査を実施する
- 監査責任者への結果報告
などです。
ISMS内部監査でよくある指摘事項とは
ISMSの内部監査では、重大な事故につながる不備よりも、日常運用と文書・記録のズレが指摘されるケースが多く見られます。
特に中小企業では、限られた人数でISMSを運用しているため、「仕組みはあるが、実態が追いついていない」という状況になりがちです。ここでは、ISMSの内部監査でよくある指摘事項をご紹介します。
規程や手順書が現場で守られていない
ISMS取得時に整備した規程や手順書が、実際の業務では参照されていないケースは非常に多く、内部監査でも頻出の指摘事項です。
「忙しくて読まれていない」「実際の業務フローと合っていない」といった理由が背景にあります。定期的に現場の運用と内容にズレがないかを確認し、実態に合わせて見直すことが重要です。
記録・証跡が残っていない
教育実施記録、点検記録、レビュー記録など、「実施しているが記録がない」という状態も、ISMS内部監査でよく指摘されます。
内部監査では『実施したかどうか』ではなく、『証拠が残っているか』が確認されます。Excelやチェックリストなどで、必ず記録を残す運用を決めておく必要があります。
リスクアセスメントが更新されていない
業務内容やIT環境が変化しているにもかかわらず、リスクアセスメントが取得時のままになっているケースも多く見られます。
テレワーク導入やクラウドサービス利用開始などは、見直しの典型例です。
大きな変更があったタイミングで部分的に見直すだけでも、指摘防止につながります。
是正処置が表面的になっている
内部監査で指摘を受けた際、対応はしているものの、「なぜ起きたのか」という原因分析が不十分なケースも指摘されやすいポイントです。
是正処置では、再発防止の観点で原因まで掘り下げることが重要です。
退職者アカウントの管理ができていない
従業員が退職した後も社用アカウントが残っていて、アクセス権限も付与されたままになっていることが少なくありません。
人事とセキュリティ担当者・システム担当者で連携を取り、退職日にアカウントを削除するようルールを決めておくようにしましょう。これらの指摘事項は、多くの中小企業で共通して見られるものです。
ISMSの内部監査を「チェックの場」ではなく、「仕組みを現場に合わせて改善する機会」と捉えることで、無理のない運用と継続的な改善につながります。
オプティマ・ソリューションズでは、豊富な知識や経験を活かしてメールでのお問い合わせも受け付けております。もっとリアルな現場の声を知りたい!という方は、ぜひご連絡ください。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
