ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
ISO27001(ISMS)取得にコンサルタントは必要なのか…
結論、絶対に必要というわけではありません。
ただし、社内体制によってはコンサルタントに頼った方が良い場合もあります。その場合、コンサルタント選びのポイントの1つとなるのが費用です。
本記事では、ISO審査員の私が実際に担当した中でコンサルタントが不要だった企業様の実例を挙げながら、コンサルタントが必要か不要かの見極め方、そして必要な場合の費用の目安や考え方を解説します。
自社がどちらに当てはまるのか、どのような要素で費用が決まるのか企業のご担当者様は検討材料としてぜひご活用ください。
さらに、必要と判断される場合のコンサルタントの選び方についてもまとめます。
そちらも参考にしてみてください。
目次
繰り返しになりますが、ISO27001(ISMS)に限らずISOを取得するときにコンサルタントが必要とは必ずしも言い切れません!!
たとえば先月私が審査に伺ったお客様(ISO27001の新規取得をご希望)は、コンサルタントと契約せずにISO27001(ISMS)を無事取得されました。
ただし企業様によって必要か不要か分かれます。コンサルタントがいた方がよいケースも少なくありません。
そのため、自社の状況をもとに判断する必要があります。
以下、自社は必要・不要どちらに当てはまるか考えながらお読みください。
ISMSをはじめISOのコンサルタントは、一般に以下のような業務を行います。
①ISOマネジメントについての教示とシステム構築のお手伝い(個々の企業に適した情報管理手法の提案・システム構築/ISOを落とし込んだ実運用のフォローなど)
②お客様がISO審査を通過するための準備のお手伝い(文書(マニュアルなど)の作成/内部監査の実施・記録作成/マネジメントレビューの実施・記録作成など)
③ISO審査通過後のフォロー(審査で出た不適合・観察事項の対応/翌年の審査に向け、準備のお手伝いなど)
ただしコンサルタント会社やサービスによって対応する範囲が異なります。
ISO27001(ISMS)の取得においてコンサルタントを依頼する最も大きなメリットは労力や負担の削減です。
先述のコンサルタントの行う業務内容だけを見て、「コンサルタントに頼らず自社でやってしまってもいいかな…」と思われた方も多いかもしれません。
しかし取得のためにはしっかり要求事項を理解して、その上で実務も実施しないといけません。運用は継続が必要で、終わりがないものです。
また、ISO業務だけならまだしも、普段の業務も兼務しながら上記の業務を同時に行うのはかなり大変です。
過去にISO業務を兼務されているお客様が仰っていたのですが、ISOの審査3か月前からISOの準備で家に帰れていない方もいたそうです。
しかしコンサルタントと契約すれば、自社社員のそういった負担を大幅に減らすことができます。
さらに、自社に適したシステムを構築することができます。
コンサルタントは専門知識が豊富で、ISO取得に向けてシステムを構築するプロだからです。
また最適なシステム構築だけでなく、専門知識や経験による運用の改善も受けることができます。たとえば、課題の発見と改善アドバイス、社内研修など教育支援などです。
そして認証を取りやすくなるのもメリットです。
申請に際しては、ただ単に文書を作成するだけではなくISOの規格要求事項を満たしていなければいけません。
コンサルタントなら必要な作業をスムーズにこなすことができ、準備期間を短くできる可能性も高くなります。
具体的には、書類作成、継続検査の準備(内部監査やマネジメントレビューなどの作業を大幅に削減できます。
一見簡単そうに見えるISO関連業務ですが、実際に新規でISOを取得されるお客様の8~9割はコンサルタントと契約をしているのが実情です。
なお、たまに審査機関である弊社も「コンサルティングもお願いできますか?」とお問い合わせをいただくのですが、審査機関とコンサルタントの会社は全く別物です。
さらに審査機関はISOのルール上、お客様へのコンサルティング行為は固く禁じられているという背景があります。
そのため、コンサルタントを契約する場合は審査機関とは別でコンサルタント会社と契約をする必要があります。
ISMSコンサルタントと契約した場合、費用は新規取得の場合で50万~100万円程度が目安とされています。さらに運用サポートの場合は、年間30万~50万円程度が相場と言えるでしょう。
幅がありますが、いくつかの要素で金額は変わります。
金額に影響する要素としては次の点が挙げられます。
希望する条件で相見積もりを取るのが確実です。
コンサルタントを頼まない場合、もちろんコンサル費用は不要です。しかし自社の担当社員の人件費や審査費用はかかります。
自社で行う場合は期間が長引く可能性などもあり、トータルで試算する必要があるでしょう。
以下、費用に影響する要素について解説します。
コンサルタント費用を含め、ISO取得の費用については次の記事を参考にしてみてください。
ISO取得に必要な費用について【審査費用とコンサル費用】 – ジーサーティ・ジャパン
コンサルティングサービスの提供会社によって費用は変わります。会社ごとに料金の設定が異なるためです。
実績がある会社は高めに設定している可能性もあります。サービスの内容などが異なれば、当然、設定の金額にも違いが出ます。
そのほか、遠方の会社に依頼すると、出張費用など追加料金が必要になる場合もあります。
依頼する側の企業の規模も費用の金額に影響します。当然、規模が大きくなるほど取り扱う情報資産の量も増えます。それに伴い工程が増え、費用も高くなるのです。具体的には、従業員の人数、拠点の数などが該当します。
ただし規模が大きいほど金額が増えはしますが、規模に対して割安になっていきます。たとえば規模が2倍になっても費用は2倍までいかないことも多くあります。さらにくわしくは後述しますが、認証の適用範囲は会社全体でなく一部に限定することも可能です。その場合はその分費用を抑えることも可能です。
サービスの範囲も費用に影響します。具体的には、アドバイスのみなのか実際の作業の代行やサポートが含まれるのかで金額が変わります。
もちろんアドバイスだけの場合は費用も安くなります。年間30万~50万円が目安です。アドバイス+代行・サポートの場合は、受けられるサポートが増える分費用も高くなるります。目安は、年間50万~100万円程度です。
ISMSコンサルタント費用は、いくつか金額を抑える方法があります。まず大前提として、数社から相見積もりを取って比較検討しましょう。相場観がわかり、高すぎる会社やプランを避けることができます。相見積もりは前提として、以下のような工夫でコンサルタント費用を下げることができます
ただし費用とサービス内容のバランスを考えるべきです。自社対応だと自社の人件費が高くなり、全体の費用がコンサル利用時より高くなる可能性もあります。費用の比較のポイントは後ほど解説します。
ほとんどの企業様はISMS取得のためコンサルタントと契約していますが、コンサルタントなしでもスムーズにISMSが取得できるケースもあります。
以下に当てはまる場合です。
いずれかに当てはまるのであれば、コンサルタントは必要ないと私は思います。
私が担当したうち、上記の条件に該当していた企業様の例を挙げます。
まず、社内にISMS取得の知識のある人材がいる企業様の例です。
会社によっては、一度ISMS認証をやめたけれども再度必要となり取得する企業もいらっしゃいます。
そのような場合、過去にISMSを取得したときの担当者は規格要求事項を理解しています。
そういった社員は文書作成など取得の準備に慣れています。
コンサルタントなしでも規格要求事項に合わせた準備ができるでしょう。
私の担当した企業様は、過去に作成した文書をアップデートして審査を受審されておられました。
なおISO27001(ISMS)の規格要求事項については以下の記事にまとめてあります。
ISO27001(ISMS)の規格要求事項とは? – ジーサーティ・ジャパン
次に、社内にISMS業務を専門に対応できるマンパワーがある場合です。
ISO業務のみを担当する従業員がいるケースがなどが該当します。
例えば会社を引退されてISO担当として再契約される方など、他業務は一切なくISOのみに時間を割くことができる方がいればコンサルタントは不要です。
ただし、その社員がISO規格要求事項を理解している必要があります。
逆に次のような場合は、コンサルタントが必要(コンサルタントの利用がおすすめ)と言えます。
繰り返しになりますが、新規でISOを取得されるお客様の8〜9割はコンサルタントと契約しておられます。
ほとんどが上記のような事情をお抱えになっているからです。
コンサルタントの費用は、いくつかのポイントに分けて比較すると精度の高い判断ができます。
比較のポイントとしては次の内容が挙げられます。
順に解説いたします。
新規取得までの費用(イニシャルコスト)とその後の維持・更新の費用(ランニングコスト)の両方の料金をよく見て比較することが大切です。
すでにお伝えした通り、ISMSは取得して終わりではなく継続して運用していくものです。維持審査・更新審査のコンサルティング費用も要確認だと言えます。中長期的な費用感が大事ということですね。
ただし取得だけコンサルタントに依頼し、運用のコンサルティングは受けない場合もあります。その場合は社内の運用担当者の人件費と比較することが必要となります。
なおコンサルタント以外もふくめたISMS認証取得の費用については以下の記事にまとめてあります。
ISO認証の費用を知ろう!取得費用・維持費用と費用対効果の考え方を解説
次に、セキュリティ教育にかかる費用も意識しておく必要があります。
教育のため、現場研修・ビデオ・eラーニングなどの費用が別途かかるケースもあるためです。
セキュリティ教育としては、最新のセキュリティに関する知識のアップデートなどが継続して必要となります。
教育対象の社員数がどのぐらいか、セキュリティ知識の定着度合いをどこまで追求するかにより費用は異なります。
さらに、情報漏洩や不正アクセスを防ぐためのセキュリティシステムの導入費も事前に考えておくべき費用です。
システム導入を勧める傾向のあるコンサル会社とそうでない会社があり、導入することになるケースもあります。
セキュリティシステム導入については;、金額だけでなく費用対効果で検討・判断することをおすすめします。
クラウドサービス利用でコストダウンする方法もあります。導入を勧める会社でも、提案内容以外の選択肢が可能かどうかで費用は変わってきます。検討時に確認してみましょう。
自力取得後に依頼する場合や他のコンサル会社から乗り換える場合、スリム化の費用が初期費用として必要となるケースがあります。
事前に見積を取ることがおすすめです。
スリム化にかかるコスト(初期費用)は、現状の「ISMS運用の仕組み(ISMS運用状況)」により見積り金額が異なってきます。
ISMSの仕組みが煩雑であれば高くなりますし、ある程度スリム化(整備)されていれば安くなるでしょう。
またそもそも初期費用がかからないコンサル会社もあり、そのような会社ではスリム化に無償で対応してくれます。
そのため、複数社に見積り依頼してイニシャルコスト(初期費用)とランニングコスト(月額費用or年間費用)の両側面で比較検討し、中長期的なコストパフォーマンスを見極めることが大切です。
運用管理ツールがあるかどうかも費用にかかわってきます。
運用管理ツールとは、ISMSの運用・管理・維持のためのツールのことです。
運用管理ツールを利用することで、ISMS文書作成・従業員教育・リスクアセスメントなどを自動化できます。
ただしツールにはメリットがある反面、その分費用が高くなるケースもあるので注意が必要です。
導入の費用対効果と導入しない場合を比較することが不可欠となります。
最後に、費用面検討以前の前提として、コンサル会社を見極める際のポイントを確認いたします。
それぞれについて見ていきます。
まず、認証完了までのスピードです。自社が希望するスケジュールで進められるかどうかを確認しましょう。
最初の見積り依頼、打ち合わせアポイントのやりとり、質問への回答スピードなどが参考になります。
入札のために必要というような、認証の期限が決まっている場合はスピードは特に重要です。
間に合わなければ自社の利益が損なわれてしまいます。期限までに認証が間に合うスケジュールで進められるか確認しましょう。
また作業のスピード同様、自社に必要なISMS構築ができるかも認証までのスピードにかかわります。
後ほど解説しますが、自社の規模や業種と同じ、あるいは似た実績があるコンサル会社の方が安心です。
確実に認証が受けられるか、審査通過率も重要です。
コンサルティングを依頼しても認証につながらないなら依頼する意味がないということになっていまいます。
過去の実績を確認することで安心度がわかります。
そのほか、やはり自社と共通する分野・業種の専門性や経験があるかどうかも確認しておきましょう。
似た経験があれば、より安心度が高まります。
またコンサルタントの数と質も確実性に影響します。
一概には言えませんが、コンサルタントの人数が多いコンサル会社の方が安心だと考えられるでしょう。
理由として、コンサルタントの変更など融通が利く、自社にマッチしたコンサルタントを当ててもらえる、コンサルタント一人当たりの担当企業数が多すぎると対応力が下がるといったことが挙げられます。
またコンサルタントの質の面では、外注コンサルタントよりは正社員コンサルタントの方が安心です。
コンサルタントのスキルが安定しているためです。
自社のマンパワーの作業負荷がどのぐらいになるか、コンサル会社がどこまでやってくれるかも会社選びのポイントで重要です。
より具体的には、以下の点を比較してみてください。
ただしサポートがていねいになるほど費用も高額になるため、費用とのバランスで比較検討することが大切です。
そのためには、コンサル会社の費用だけでなく社内の人件費など全体で考える必要があります。
業種や企業ごとに合ったISMSを構築してくれるかどうかも大切です。不要なルールまで追加していくと形骸化しやすくなります。
適切なISMS構築は、認証取得後の運用に影響します。
概ねの目安で言えば、実績数が多いコンサル会社の方がおすすめです。
実績数が多いとケーススタディが多く、対応力も高いことが期待できるためです。
もちろん自社と似た業種や規模の実績があるかも目安になります。
認証を受けてISMSを運用することにより自社の情報セキュリティを高めたい場合は、実質的なセキュリティへの貢献度合いも確認しましょう。
セキュリティ効果は、適切なISMS構築に依存します。適切なISMS構築ができるかどうか確認してください。
ただし、規格を取得・維持さえできればいいという企業にとっては気にしなくてもよいポイントとなります。
特に費用負担の面でコンサルタントとの契約に悩まれている企業様も多いかと思います。
しかしISMSにかける人件費を考慮すると、むしろコンサルタント契約をした方が費用面でメリットがある場合も多々あります。
もしお客様から直接コンサルタントに問い合わせなさると、多くの場合は「必要」と判断されるでしょう。
コンサルタントに加えて、審査機関の選び方を知りたい場合は次の記事が参考になります。
ISO認証機関(ISO審査機関)の選び方
客観的な意見をお求めであれば、コンサルタントに問い合わせる前に審査機関である弊社(株式会社GCERTI-JAPAN)にご相談ください。
お話を伺ったうえで必要に応じたご提案をすることが可能です。
その他にもISO審査についてお悩みのことがございましたら、まずはお気軽にお問い合わせくださいませ。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。
お問い合わせはこちら
0800-888-0442
