ISMS適用範囲とは?決め方の注意点・実務例・審査対応を初心者向けに徹底ガイド!
- 【監修者】金光壮太(ISOトラストのコンサルタント)
- 3月24日
- 読了時間: 10分
▼ 目次
1. はじめに
1.1. 本記事の目的と想定読者
ISMS(情報セキュリティマネジメントシステム)を導入する際、**「適用範囲」**をどう設定するかは非常に重要です。範囲が不適切だと、審査で不適合を受けるリスクや、実際のリスク管理に抜け漏れが生じる可能性が高まります。
想定読者
これからISO27001の認証を取得しようと考えている企業の担当者
適用範囲の決め方に迷いがあり、具体的な事例や手順を知りたい初心者
ISMSを拡大または更新しようとしており、審査合格をスムーズに達成したい管理者
本記事では、適用範囲の基本概念・注意点・実務例・審査対応までを、初心者にもわかりやすい形で解説します。これを読むと、適用範囲をどのように設定すれば実用的かつ審査にも対応できるのかを学べます。
1.2. なぜ適用範囲の決め方が重要なのか?
リソース配分と運用コスト: 全社導入か、一部部署だけかで必要予算や人材が大きく変わります。
審査リスク: 不必要に広い範囲だと工数増加、狭すぎるとリスクが漏れるなど、審査時に問題化しやすい。
組織全体のリスク管理: 適用範囲がズレていると、本来守るべき資産をカバーできずにインシデント発生時の対応が遅れることも。
1.3. この記事で得られるメリット
適用範囲を決める具体的ステップと注意点がわかる
実務に直結する事例を通じて、自社への導入イメージがつかめる
審査でのポイントも押さえ、スムーズにISMS認証を取得できるようになる
2. ISMS適用範囲とは?基本概念の整理
2.1. 適用範囲の定義
ISMS適用範囲(スコープ)とは、どの業務や拠点、システム、データをISMSで保護・管理するかを明確にすることです。具体的には、「A事業所とB事業所だけを対象にする」「本社と営業部門は含めるが、海外拠点は対象外」など、物理的・業務的な境界を定義します。
除外項目を設定する際は、なぜ除外するのか合理的理由が必要
適用範囲を決めて初めて「どの情報資産をどう守るか」のリスクアセスメントがスタートできる
2.2. 適用範囲が明確でないと起こるリスク
保護すべき資産が漏れる: 重要システムや新しい部署をスコープ外にしてしまい、リスクコントロールから外れてしまう
監査・審査の混乱: どの文書・どの部門が対象かわからず、監査のたびに書類や担当者が変わりバタバタ
2.3. 初心者が押さえるべき用語
スコープ(scope): ISMSにおける適用範囲を英語で表した言葉
境界: 物理的(建物・拠点)や論理的(システム・ネットワーク)の切れ目
除外項目: 適用範囲外にした業務・拠点・システム。審査で正当な理由を説明する必要がある
3. 適用範囲の決め方:注意点とステップ
3.1. ステップ①:組織の事業特性・情報資産を把握
プロの視点: まずは自社の全事業・サービスを一覧化し、そこに関連する情報資産(データ、システム、人、設備など)を見える化。
例: 製造業なら生産管理システムが重要、IT企業ならクラウド運用システムが主要資産
3.2. ステップ②:リスクアセスメントの実施
大まかに脅威・脆弱性を洗い出す: すべてのリスクを詳細分析するのではなく、組織レベルの主要リスクに着目
経営者の意向: どの業務を最優先で守りたいか、どのリスクは受容可能かといった経営判断も必須
3.3. ステップ③:範囲を絞るか、広げるかの判断
部分導入: まずコア業務だけ適用し、後で拡大する(小規模企業や初心者向け)
全社導入: すべての拠点・業務を一括でスコープに入れる(成熟度が高い企業向け)
ハイブリッド: 業務特性に合わせて重要部門のみ先行し、順次展開する
3.4. ステップ④:範囲を文書化し、内部・外部へ周知
スコープ文書: 「当社ISMSは○○拠点、○○部署、○○システムに適用」と明記
内部通知: メールやイントラで知らせ、誰がどこまで適用対象か認識を合わせる
外部ステークホルダー: 顧客や取引先にも必要があれば「ISMSはここまでカバー」と案内
4. 実務例:ISMS適用範囲のパターン
4.1. 全社適用タイプ
特徴: 大企業や、すでにセキュリティ体制が一定レベル整っている組織に多い
メリット: 対象外の業務がなく、セキュリティ統一が行き届きリスク漏れが少ない
デメリット: 導入初期コストが大きく、全拠点・全部署の巻き込みが必要
4.2. 部門・拠点限定タイプ
例: 「コールセンター部門」や「開発本部」だけ対象にするケース
メリット: フォーカスが絞れて導入しやすい、短期間で認証取得
デメリット: 他部門や他拠点がスコープ外だと、そちらでリスクが発生してもISMS的には管理が及ばない
4.3. フェーズ導入タイプ
流れ: (1)本社や主要システムを先行→(2)数か月後に他拠点を追加→(3)最終的に全社適用
メリット: 段階的に習熟しながら範囲拡大、プロジェクト管理がやりやすい
デメリット: その都度認証範囲を見直し、拡大審査を受ける必要がある
5. 審査対応:適用範囲が問われるポイント
5.1. 審査員がチェックする箇所
妥当性: 守るべき業務・拠点を含んでいるか、除外があるなら合理的な理由があるか
整合性: リスクアセスメントの結果と適用範囲が一致しているか、対象外リスクが管理されているか
文書化: スコープが正式に承認され、社内外に説明できる形になっているか
5.2. 適用範囲外のリスク説明
プロの視点: たとえば「海外拠点は今回は対象外」とした場合、審査員に「海外拠点で重大リスクがないの?」と問われることが多い。
事前に「海外拠点の業務は限定的」「顧客情報は扱わない」など根拠を示せるように準備
5.3. 審査でよくある指摘事例
指摘①: 実際には個人情報を扱う部署なのにスコープ外に設定→ リスクが見落とされている
指摘②: 組織図上は含まれているが、手順書や教育が行われていない拠点がある→ 実運用が伴っていない
6. 適用範囲を決める際の注意点
6.1. 組織変更や拡大を見越した計画
拡張性: 1年後に新拠点や新事業が始まる見込みなら、最初からスコープに含めるか、段階的拡張計画を明確化
継続的レビュー: 企業は常に変化するので、半年~1年スパンで範囲を見直すことを推奨
6.2. 経営者との連携でコスト・メリットを検討
投資判断: 全社導入と部分導入で大きく費用が変わるため、経営層の意向を反映
プロのアドバイス: “守るべき重要情報資産”の優先度を経営者とすり合わせることで、適用範囲を無理なく設定
6.3. 文書化と周知の徹底
スコープ文書: “ISMS適用範囲に含まれる部門・拠点・業務内容”を明示し、社内イントラやマニュアルで共有
変更時の更新: 組織改編や新システム導入で境界が変わったら、即座に改訂し、内部監査もアップデート
7. 成功事例:適用範囲を上手に決めている企業
7.1. 製造業A社:最初は核心業務だけ、半年で審査合格
経緯: 工場が多数あるため、全社導入だと初期負担が大きすぎる
対策: 本社管理部門と中核製造ラインのみを適用範囲に設定→ 約6か月でISMS認証取得
結果: 運用しながら体制を整備し、翌年には適用範囲を拡張して全工場をカバー
7.2. IT企業B社:全社的な適用で統一基準が確立
背景: 複数の開発チームがそれぞれ独自ルールでセキュリティを運用
対応: 全社を一括スコープにし、共通ポリシーやベースライン管理策を導入
成果: チーム間のばらつきが解消され、外部審査でも「どの部署も一貫した対策」が評価される
7.3. 金融機関C社:海外拠点含むベースライン導入
事例: 国内外を問わず、顧客情報を扱う拠点すべてを適用範囲に設定
メリット: セキュリティレベルをグローバルに統一。監査や審査も一括対応
注意点: 海外法規制や言語の問題で工数が増えるため、計画的に進める必要
8. 失敗事例と回避策
8.1. 適用範囲を広げすぎて運用負荷増大
原因: すべての部署・システムを一度に対象にし、メンバーが書類作成や監査対応に追われる
回避策: 段階導入で負担分散。最初は重要部署だけ→ ノウハウを蓄積し、徐々に拡張
8.2. 適用範囲が狭すぎてリスクが漏れる
原因: コストや手間を恐れるあまり、コア業務すら一部スコープ外にしてしまう
回避策: 経営者と相談し“リスクが大きい領域”は必ず含める。除外の理由を明確にし、定期的に見直す
8.3. 変更・拡大時の文書更新を忘れて審査で指摘
原因: 新拠点設立や新システム導入後に、適用範囲ドキュメントを改訂しない
回避策: 変更時の手順書を作成し、必ずドキュメント更新と内部監査をセットで実施
9. Q&A:ISMS適用範囲に関する素朴な疑問
9.1. 「すでに取得した後で範囲を広げる場合は?」
回答: 追加拠点や新業務を含める拡大審査を受ける、または次回更新審査で範囲拡大を審査員に通知しチェックを受ける方法が一般的。認証機関に事前相談をするとスムーズ
9.2. 「適用範囲外にしたシステムでインシデントが起きたらどうなる?」
回答: ISMS的には対象外なので審査上の大きな影響はないが、企業のビジネスや顧客信用を損なうリスクは変わらない。将来的に含めるか検討が必要
9.3. 「小規模企業は全社対象のほうがいい?」
回答: 小規模なら全社でもコストや管理工数がさほど大きくない場合が多い。部分導入のメリットがあまりないこともあり、全社統一のほうがスムーズなケースが多い
9.4. 「アウトソーシングしている業務は含む?」
回答: 実質的に自社の情報資産を扱うなら、委託先も範囲に含めるか、それに準じた契約管理が必要。契約書でセキュリティ要件を定めておくのがおすすめ
10. まとめ:ISMS適用範囲とは?決め方の注意点・実務例・審査対応を初心者向けに徹底ガイド
10.1. 記事の総括:ポイント再確認
適用範囲: どの拠点・部門・システムを保護対象にするか決める工程で、ISMS運用と審査に大きな影響を与える
決め方のステップ: (1)事業特性・資産把握→(2)大まかなリスク評価→(3)範囲の絞り込みor拡大→(4)周知・文書化
審査対応: どこを除外し、どこを含めるかを説明できるように、合理的根拠を準備
失敗回避: 広げすぎ・狭すぎ問題や更新漏れに注意し、定期的に見直す
10.2. 次のアクション:導入の流れおさらい
リスクアセスメントを大まかに実施: 重要資産と主要リスクを把握
経営層と協議し、スコープ設定: 全社か部分導入か、除外項目の理由を確認
文書化し、周知: スコープ文書を作り、社員や関係部署に徹底周知
運用・監査: 拡張や組織変更時は都度更新し、審査対応をスムーズにする
あとがき
適用範囲の設定は、ISMS運用の第一歩と言っても過言ではありません。過度に狭い範囲だと肝心のリスクがカバーできず、広すぎるとコストや運用が大変になりがち。企業の状況やリスク優先度をしっかり分析し、自社に合った最適なスコープを定義することが、ISMS導入や審査合格への近道です。ぜひ本記事のステップや事例を参考にしつつ、スムーズで効果的なISMS運用を実現してみてください。
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている
Comentarios