ISO27001（ISMS）取得にコンサルタントは絶対必要なの？

ISO27001（ISMS）取得にコンサルタントは必要なのか…
結論、絶対に必要というわけではありません。

ただし、社内体制によってはコンサルタントに頼った方が良い場合ももちろんあります。

本記事では、ISO審査員の私が実際に担当した中でISO27001（ISMS）取得時にコンサルタントが必要なかった企業様の具体例を挙げながら、コンサルタントが必要な場合とそうでない場合の見極め方をご紹介致します。

自社がどちらに当てはまるのか、ご検討材料としてぜひご活用ください。

コンサルタントの必要性

ISO27001（ISMS）取得にコンサルタントは必要なのか…
結論から申し上げますと、ISO27001（ISMS）に限らず、ISO9001・ISO14001も含め、必ずしも必要とは言い切れません！！

その理由については後ほどご説明させて頂きますが、ここで重要なのは、企業様によって必要か不必要か分かれるという点です。

具体例としまして、先月、私が審査に伺ったお客様（ISO27001の新規取得をご希望）はコンサルタントを契約せずに無事、ISO27001（ISMS）を取得されました。

このようにお客様によってコンサルタントが必要か不必要か分かれるという認識を持って、この記事を読み進めて頂けますと幸いでございます。

そもそもコンサルタントとは？

ISOコンサルタントは具体的にこのような業務を行います。

これだけを見ると、「コンサルタントに頼らず自社でやってしまってもいいかな…」と思われた方も多いのではないでしょうか。

ここで注意しておきたいのが、

• ただ単に文書を作成するだけではなく、ISOの規格要求事項を満たしていないといけない
• しっかり要求事項を理解して実務も実施しないといけない

ということです。

また、ISO業務だけならまだしも、普段の業務も兼務しながら上記の業務を同時にするのはかなり大変です。
過去にISO業務を兼務されているお客様が仰っていたのですが、ISOの審査3か月前からISOの準備で家に帰れていないという方もいらっしゃいました。

一見簡単そうに見える業務ですが、実際に新規でISOを取得されるお客様の8〜9割はコンサルタントと契約をしているのが実情です。

たまに弊社のような審査機関に「コンサルティングもお願い出来ますか？」とお問い合わせを頂くのですが、審査機関とコンサルタントの会社は全く別物です。

審査機関はISOのルール上、お客様へのコンサルティング行為は固く禁じられているという背景があります。
そのため、コンサルタントを契約する場合は、審査機関とは別でコンサルタント会社と契約をする必要がございます。

コンサルタントが必要でない企業

では、どのような企業が、コンサルタントと契約せずにISO審査を受審されているのでしょうか。
過去の事例からお話させて頂きます。

事例 ①

前提条件	過去にISOを取得していたので、 ・ISO規格要求事項を理解している従業員がいる ・文書作成等、準備に慣れている

過去の経験からISO規格要求事項を理解している従業員がいる場合になります。

会社によっては、一度ISO認証をやめたが、再度必要となり取得する企業もいらっしゃいます。
このような会社は過去に作成した文書をアップデートして審査を受審されておられました。

事例 ②

前提条件	・ISO業務のみを担当する従業員がいる。

例えば会社を引退されてISO担当として再契約される方など、他業務は一切なくISOのみに時間を割くことができる方がいればコンサルタントは不要です。

ただし、当該従業員がISO規格要求事項を理解している必要はございます。

この条件がそろっていればコンサルタントは不要

前述の事例のように

• ISOの規格要求事項を理解している
• ISOのために十分な時間をかけられる

という方が社内にいらっしゃるのであれば、コンサルタントは必要ないと私は思います。

コンサルタントが必要な企業

ここまででご紹介した条件が満たされていない場合は、コンサルタントが必要（コンサルタントの利用がおすすめ）といえるでしょう。

具体的には、

• ISOの規格要求事項を理解できる従業員がいない
• もし上記のような従業員がいても、普段の業務が忙しくてISO業務に時間をかけられない

といった場合です。

繰り返しになりますが、新規でISOを取得されるお客様の8〜9割はコンサルタントと契約しておられます。
その理由のほとんどが上記のような事情をお抱えだからです。

まとめ

いかがでしょうか？
特に価格負担のところに懸念があり、コンサルタントとの契約を悩まれている企業様も多いかと思いますが、ISOにかける人件費を考慮するとむしろコンサルタント契約をした方が価格的にメリットがある場合も多々ございます。

とはいえ、なかなか判断が難しいところだと思います。

もしお客様から直接コンサルタントにお問い合わせをされると「必要」と判断される可能性が高いです。

ですが先に審査機関である弊社（株式会社GCERTI-JAPAN）にご相談を頂ければ、お話を伺ったうえで必要に応じたご提案をさせて頂く事が可能です。

もしご相談後にお客様でコンサルタントが必要だと判断されれば、コンサルタントのご紹介もさせて頂きます。

その他にもISO審査についてお悩みのことがございましたら、まずはお気軽にお問い合わせくださいませ。
お問合せフォームはこちら

ISO27001（ISMS）に関するよくあるご質問

Q情報セキュリティにおけるリスクにはどんなものがありますか？

そもそも情報セキュリティリスクとは、目的に対する不確かな影響のことを指します。
そしてその中でも代表的なリスクとして、「脅威」と「脆弱性」の二つがあります。

「脅威」とは、情報の盗難や不正利用など、情報セキュリティにおけるリスクを発生させる要因のことを言います。

「脆弱性」とは、脅威の発生を誘引するようなセキュリティ対策上の欠落点のことを言います。

QISO27001（ISMS）とPマークとの違いは？

対象となる範囲が異なります。
Pマーク（PMS）は個人情報が対象となり、ISO27001（ISMS）は組織や企業が所持している情報資産（個人情報も含まれうる）が対象となります。

範囲で言うとISO27001（ISMS）の方が多岐にわたります。

QISO27001（ISMS）の重要性は？

ISO27001（ISMS）を認証取得していることは、組織内の仕組み・取り組みの品質保証に繋がります。

情報セキュリティが甘いと攻撃や情報漏洩のリスクが高まります。
そしてそういった事態は一度起こってしまうと取り返しがつかず、組織の信用回復も難しいでしょう。

そのため、行政の入札や大手顧客との取引でISO27001（ISMS）の取得が必須要件とされることが非常に増えてきています。

ISO27001（ISMS）は内部の仕組み改善だけでなく、対外的な信用を得る上でも非常に重要な存在としての認識が高まってきています。