▼ 目次

1. はじめに

2. ISMS担当者の役割と業務の全体像

3. 認証準備フェーズ：担当者がやることと具体例

4. 運用フェーズ：担当者が日常的に行う業務と実務のポイント

5. 内部監査・外部審査対応：担当者のリーダーシップが必要な場面

6. コンサルティング活用や社内体制整備：費用・メリット・注意点

7. 成功事例：担当者が主導してISMSを軌道に乗せたケース

8. よくある失敗例と回避策

9. Q&A：ISMS担当者がやることに関する疑問

10. まとめ：ISMS担当者がやることを具体例でわかりやすく解説！認証準備から運用まで初心者向けガイド

1. はじめに

1.1. 本記事の目的と想定読者

ISMS（Information Security Management System）は、企業が情報資産を守るためのマネジメントシステムです。ISO27001の認証を取得するためには、さまざまな書類準備やリスクアセスメント、社員教育など多岐にわたる作業を行う必要があります。しかし、**「ISMS担当者って具体的に何をする役割なの？」**と戸惑う初心者も多いでしょう。

• この記事の目的

  1. ISMS担当者が果たす役割や業務の全体像を理解する

  2. 認証取得に向けた準備段階から運用・審査対応まで、具体的な仕事の例を紹介

  3. 他社事例やコンサル経験をもとに、効率的かつ効果的な進め方や注意点を押さえる

• 想定読者

  • これからISMS認証を目指す企業の初心者担当者

  • ISMS運用フェーズで「担当者の仕事が多すぎる…」と困っている管理者

  • 審査対応のノウハウや、内部監査に活かせる実務的ヒントが欲しい方

1.2. ISMS担当者の重要性：なぜ“担当者”が鍵を握るのか？

• プロジェクトの推進役: 経営層と現場をつなぎ、リスクアセスメントや文書作りを進める

• セキュリティ方針を浸透させる: 組織のあらゆる部門と連携し、ルールを現場に落とし込む

• PDCAサイクルの司令塔: 計画（Plan）→実行（Do）→確認（Check）→改善（Act）の流れを管理し、継続的な運用を実現

1.3. 本記事で得られるメリット

1. 担当者が実際にどんな作業を行うか、全体像をイメージできる

2. 認証取得や運用・審査対応で必要な手順と、具体的な“やり方”を習得

3. コンサルタントの経験や他社事例を活かし、自社のISMSを効率よく進め、トラブルや二度手間を防ぐ

2. ISMS担当者の役割と業務の全体像

2.1. ISMS導入プロジェクトの推進役

ISMSは会社全体を巻き込む取り組みなので、担当者はプロジェクトマネージャーのような存在となります。具体的には、こんな仕事があります。

• スケジュール管理: 「いつまでにリスクアセスメントを終える？ 文書作成はいつまで？」など、マイルストーン設定

• 社内調整: 経営層からの要望と現場部門の状況をすり合わせ、作業分担を決める

• 進捗管理: 週1回など定期的に会議を開き、ステータスを確認し、問題があれば対処を指示

2.2. リスクアセスメント・管理策選定のリーダーシップ

• 脅威・脆弱性の洗い出し: システムや業務プロセスごとに、どんなリスクがあるか確認

• リスク評価: 発生可能性と影響度を点数化や“高・中・低”で設定→ 優先度の高いリスクから対処

• 管理策選定: ISO27001附属書Aや独自対策を組み合わせ、「このリスクにはこう対応する」という計画をまとめる

コンサル経験: ある製造業では、工場制御システムのリスクを軽視していて、担当者が必死に現場と話し合った結果、早期に脆弱性が見つかり大事故を防げた例があります。

2.3. 文書化・教育・監査など、日常的業務の管理

• 文書作成と更新: セキュリティポリシー、手順書、インシデント対応マニュアルなどの改訂作業

• 社員教育: 全員がルールを理解するよう研修やeラーニングを計画・実施。受講ログの管理

• 内部監査: 定期的に実施し、不適合があれば是正策を打ち出す。審査前のリハーサル的な役割も大

3. 認証準備フェーズ：担当者がやることと具体例

3.1. 適用範囲（スコープ）の決定

1. 活動内容: どの部署・システム・拠点をISMSに含めるかを確定

2. 具体例: 製造業A社は最初は工場生産システムを含めず、本社の情報部門のみスコープに→ 翌年に工場も加えるステップ方式

3. 注意点: スコープを大きくしすぎると作業量が膨大。逆に小さすぎると経営的リスクが対応外になり審査で疑問を持たれる

3.2. リスクアセスメントのリード

1. 活動内容: 担当者が中心になり、各部署とのヒアリングを実施

2. 具体例: IT企業B社ではExcelで“資産一覧”“脅威”“脆弱性”“リスク評価”を管理し、評価結果を定期更新

3. コンサル視点: この段階でしっかり各現場との対話を行わないと、後でギャップが出て不適合指摘を受けやすい

3.3. 管理策（コントロール）の選択・文書化

1. 活動内容: ISO27001附属書Aなどから必要な対策をピックアップ→ “これは採用/不採用”“理由は？”をまとめる

2. 具体例: “パスワードを○文字以上にする”“在宅勤務者はVPNで接続”“オフィス入口に入退室管理”など

3. 成果物: 情報セキュリティポリシー、運用手順書、リスク対応計画書を整え、経営層の承認を得る

4. 運用フェーズ：担当者が日常的に行う業務と実務のポイント

4.1. 文書管理と更新

• 具体的業務: 方針や手順書を最新状態に保つ、改訂履歴を記録

• コンサル経験: 改訂が頻繁な文書はバージョン管理ツールを使うと楽（例：SharePointやGitなど）

• 審査員の視点: “現場の実態と文書が一致しているか”を重視

4.2. 社員教育・意識向上

1. 活動内容: 年1回の全社員研修、セキュリティ勉強会、フィッシング演習など

2. TIP: eラーニングの受講記録はExcelやLMS（学習管理システム）に自動で残す→ 審査で提示

3. メリット: インシデント発生率の低下、社員が不審な出来事を早期通報してくれるようになる

4.3. インシデント対応・報告

1. 担当者の役割: インシデント受付窓口、初動対応調整、発生原因の分析

2. 具体例: 製造業A社は“インシデント報告フロー”を掲示し、全社員が5分以内に担当者へ連絡するルール→ 大きな事故につながる前に早期発見

3. 改善: 報告書を分析し、同じリスクが再発しないよう管理策を強化

5. 内部監査・外部審査対応：担当者のリーダーシップが必要な場面

5.1. 内部監査の計画と実施

1. 業務内容: 監査範囲・日程を作成し、監査チームを組成→ 実際に監査を行い、報告書を作る

2. 具体例: IT企業B社は四半期ごとに監査を計画し、指摘事項をリスト化→ 担当部署と対策期限を設定

3. TIP: 内部監査は本番審査のリハーサル的役割。ミスや未整備箇所を早期に洗い出して修正

5.2. 審査時の書類準備とインタビュー

1. 事前準備: リスクアセスメント表、運用記録、教育ログ、インシデント報告書などをファイリング

2. 本番: 審査員が「この対策はどんな効果？」「教育は本当に受けていますか？」と質問→ 担当者が論理的に答える

3. 成功事例: 金融機関C社は書類をクラウドで管理し、画面共有しながら説明→ 審査員も理解しやすく、スムーズに合格

6. コンサルティング活用や社内体制整備：費用・メリット・注意点

6.1. コンサル導入のメリット

1. 短期で認証取得: ノウハウを持つ専門家が文書テンプレや審査対策を一気に整備

2. 他社事例: 多忙な製造業A社がフルサポートプランを利用し、半年で審査突破

3. 注意: 丸投げすると社内ノウハウが蓄積されず、更新審査で困る

6.2. コストとデメリット

1. 費用: 数十万〜数百万円の投資。企業規模や範囲次第

2. 内製化の阻害: コンサルがすべて代行すると担当者が成長しにくい

3. TIP: 部分サポート（ポイント支援）ならコストを抑えつつ、要所だけ専門家の力を借りる形が可能

7. 成功事例：担当者が主導してISMSを軌道に乗せたケース

7.1. 製造業A社：プロジェクト管理で効率的導入

• 経緯: 取引先からISO27001を求められ、急いで対応

• 担当者の動き: 部署代表＋経営層との週次会議→ スケジュール管理ソフトでタスクを見える化

• 成果: 6か月で初回審査合格。審査員も「チーム体制が整っており、分担が明確」と評価

7.2. IT企業B社：継続的な教育とフィッシング演習でインシデント激減

• 担当者の戦略: 受講率をKPIにし、全社員対象のフィッシング演習を四半期ごとに実施

• 結果: 社員の被害率が徐々に下がり、実際の不審メール対応も早期通報→ 大規模被害ゼロ

• 審査: “教育が実運用され、測定数値も管理されている”と高評価

8. よくある失敗例と回避策

8.1. 担当者の権限不足で現場が動かない

• 原因: 経営層が全面支援しないまま「任せたよ」で終わり

• 回避策: 経営会議の場で“担当者が権限を持つ”旨を明言、各部署責任者にも周知

8.2. ドキュメントだけ整え、日常運用がない

• 原因: 書類を作ること自体がゴール化し、教育やリスクレビューが形骸化

• 回避策: 担当者が定期的に研修を実施し、インシデント件数の推移をモニタリング→ 意識付け

8.3. 担当者が退職・異動でノウハウ消失

• 原因: 一人がすべてを抱え込んでおり、引き継ぎがない

• 回避策: チーム運営とマニュアル整備。内部監査や週次会議で知識共有を習慣化

9. Q&A：ISMS担当者がやることに関する疑問

9.1. 「担当者は必ず1人だけ？」

• 回答: 大企業の場合はIT部門・総務部・リスク管理部など複数名でチームを組むことも多い。小規模企業は1人兼任が一般的

9.2. 「初心者でもスムーズにこなせる？」

• 回答: 可能。基本を学べばコンサルなしでも進められるが、学習コストが高い。勉強会やコンサルの部分支援も検討

9.3. 「担当者の兼任は問題ない？」

• 回答: 中小企業では普通。重要なのは時間と権限の確保。兼任でも周囲の協力を得やすい体制づくりが大事

9.4. 「どのタイミングで担当者を正式に決める？」

• 回答: ISMS導入を経営層が決定したタイミングが理想。早期に任命してプロジェクトをスムーズに開始

10. まとめ：ISMS担当者がやることを具体例でわかりやすく解説！認証準備から運用まで初心者向けガイド

10.1. 記事の総括：ポイントの再確認

1. ISMS担当者の役割は、リスクアセスメントから文書作成、教育、内部監査、インシデント対応など非常に幅広い

2. 認証準備フェーズ: 適用範囲決定→ リスクアセスメント→ 管理策選定→ 文書化。担当者が主導し、全社調整を行う

3. 運用業務: 教育や監査、インシデント管理など日常的に行うタスクを仕組み化し、PDCAサイクルで改善

4. 審査対応: 書類整理、ログ管理、社員インタビューへの回答を担当者がリード。事前に内部監査や模擬質問を行い万全の体制を

5. 成功のコツ: 経営層のバックアップ、チーム体制、コミュニケーション、そして継続的な改善が鍵

10.2. 次のアクション：初心者がすぐ始められるためのステップ

1. 責任者の選任と権限付与: 経営層に“担当者”として明確に任命してもらい、意思決定にアクセスできる状況を作る

2. プロジェクト計画立案: リスクアセスメントや文書化の大まかなスケジュール、担当部署を決める

3. 現場との連携: ヒアリングや勉強会で実務上のリスクや課題を吸い上げ、対策に反映

4. 内部監査でテスト: 早い段階で監査をし、審査に向けて整備を進める

あとがき

ISMS担当者は、情報セキュリティの“司令塔”として組織をリードしながら、認証取得や運用を成功に導く大きな責任を担います。今回紹介した具体例や実務でのコツを参考に、適切なリスクアセスメントや文書化、教育、そしてPDCAサイクルによる継続的改善を進めてみてください。しっかりと役割を理解し、周囲の協力を得ながらプロジェクトを進めれば、審査合格だけでなく、企業全体のセキュリティリスクを下げ、取引先や顧客からの信頼を高める大きな成果につながるはずです。

この記事の監修者情報

金光壮太 (ISOコンサルタント)

大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている