ISMS更新審査とは？維持審査との違いや初心者でもわかる合格のポイントと実践ステップを徹底解説

審査	頻度	審査範囲	対応工数
維持審査	毎年	重点ポイント中心	比較的少ない
更新審査	3年に1回	初回認証並みに広範	追加の書類準備が必要

3. 維持審査と更新審査の違いを押さえよう

3.1. 審査のタイミング・有効期限

維持審査: 毎年実施されるため、スケジュール管理がしやすい
更新審査: 認証の有効期限が切れる前に実施しないと、認証が失効するリスクがある

3.2. 審査のフォーカス項目

維持審査: 運用の継続性と前回指摘事項の是正状況
更新審査: ISMS全体の仕組みがしっかり機能しているか、初回認証レベルでチェック

3.3. 難易度のイメージ

更新審査は、初回認証審査ほどではないにしろ、範囲が広く厳密に確認されるため、「維持審査なら大丈夫だった」部分でも指摘を受けることがあります。

3.4. 実務負荷の違い

更新審査では、運用証拠が3年分溜まっているため、書類確認量が多くなりがちです。担当者だけでなく、各部署に協力してもらう必要があります。

4. ISMS更新審査の流れと全体像

4.1. 審査開始前のスケジュール調整

審査機関との連絡: いつ審査を受けるか早めに決定する
業務状況の考慮: 繁忙期や休日を避け、社内が対応しやすい日程を優先

コンサル経験談:ある製造業のお客様は、年度末の繁忙期に審査日を設定してしまい、担当者が忙殺されて準備が進まず、当日の対応もバタバタでした。結果、不適合が多発し、是正措置にかなり時間とコストがかかったケースがあります。余裕のある時期に計画を立てることが重要です。

4.2. 更新審査当日の主なステップ

オープニングミーティング
- 審査員が審査の範囲や目的を説明し、企業側は組織概要やシステム変更点を報告
各部門へのヒアリング・文書確認
- 部門ごとのリスク管理や運用記録をチェック
- 担当者への質問・インタビューも多く行われる
指摘事項・観察事項の洗い出し
- 審査中に発覚した不備や追加検討が必要な箇所
- 必要に応じて現地確認（サーバールーム、オフィス環境など）も
クロージングミーティング
- 審査結果の概要報告と、指摘事項の是正について説明
- 合格判定の見込みや、後日提出する是正報告の流れを確認

4.3. 審査後の指摘是正と報告

不適合（Major/Minor）や観察事項への対応期限が設定される
期限内に対策を実施し、報告書を提出する
是正報告に対して審査員が再確認を行い、最終的な合否が決まる

4.4. 認証の更新と認証書の発行

更新審査に合格すると、新たな認証書が発行され、また3年間の有効期間がスタートします。次回の維持審査や更新審査に向け、再度PDCAを回すことが大切です。

5. 初心者でもわかる合格のポイント

5.1. 基本はPDCAがしっかり回っているか

ISMSの要はPlan-Do-Check-Actのサイクルです。

Plan: リスクアセスメントや目標設定
Do: 実際の運用と対策の実施
Check: 内部監査や測定指標を使った評価
Act: 問題があれば改善し、次の計画につなげる

更新審査では、3年間でPDCAがどれだけ回せているかが大きな評価ポイントになります。

5.2. リスクアセスメントと運用履歴の整合性

リスクアセスメントで高リスクと判断した項目に対し、実際にどんなセキュリティ対策を講じたか、その履歴が求められます。

新しい脅威（例：ランサムウェアの高度化、リモートワーク環境の普及など）を定期的に評価
対策内容が文書やログに残されているか確認

5.3. 内部監査・マネジメントレビューの重要性

内部監査: 自社内の別部署や外部の第三者が、ISMS運用を客観的にチェックする機会
マネジメントレビュー: 経営層が監査結果やリスク状況を評価し、方針や目標をアップデートする場

審査員は、経営層が本気でセキュリティに取り組んでいるかを見るため、レビュー議事録や改善計画をしっかり確認します。

5.4. ルールと実運用の乖離を防ぐ

セキュリティポリシーや手順書と現場の運用が違っていないか
新部署の立ち上げやシステムのリプレイス時にドキュメントを更新しているか

たとえば、「USBメモリの利用を禁止」とポリシーに書いていても、現場が必要に応じて自由に使っていたら不適合です。

6. 実践ステップ：更新審査合格に向けた準備の進め方

6.1. ステップ1：自己診断・現状分析

前回の審査報告書を見直して、指摘事項が残っていないかチェック
新規プロジェクトや組織変更でセキュリティリスクが増えていないか確認

コンサル経験談:IT企業のB社では、クラウドサービスの導入を進める一方、リスク評価を更新していなかったため、更新審査の直前に多くの修正作業が発生しました。事前に自己診断をしておけば、こうした負担を大幅に減らせます。

6.2. ステップ2：改善点のリストアップと担当振り分け

不適合・観察事項の改善計画を作成し、いつまでに誰が対応するか明確化
問題点を一覧表にし、進捗管理ツール（Excelや専用ソフト）で可視化する

6.3. ステップ3：文書整理と証拠の収集

ポリシー、手順書、教育記録、運用ログ、監査報告などを最新化
部署間でバラバラに保管されている場合、一元管理できる環境を整える

更新審査は書類確認のボリュームが大きいので、担当部署ごとに**“証拠ファイル”**を準備するなど、後から探す手間を減らす仕組みが必要です。

6.4. ステップ4：模擬審査やコンサル活用で最終チェック

内部監査の一環で模擬審査を実施し、ヒアリング対応や書類の不備を洗い出す
コンサルタントに外部目線でチェックしてもらうと、自社では気づかない弱点を補える

7. 審査員が注目する重要ポイント

7.1. トップマネジメントの関与度合い

経営層がセキュリティ方針を把握し、意思決定に活かしているか
審査員は予算承認や方針策定に経営層がどう関わっているかを重視

7.2. 教育・訓練の実施状況

新入社員や在籍社員が定期的にセキュリティ教育を受けているか
フィッシングメール対策の模擬演習など、実践的な訓練を行っているか

7.3. 外部委託先の管理（サプライチェーンリスク）

クラウド事業者や外部委託先と結ぶ契約書にセキュリティ要件が含まれているか
定期的なレビューや実地監査を行っているか

7.4. 不適合の再発防止策

過去に指摘された不適合が再び発生していないか
改善後の定着状況を記録しているか（写真やログ、関連文書など）

8. 失敗しがちなポイントとその対処法

8.1. 社内周知不足による担当者の混乱

審査直前に「何を出せばいいのかわからない」「誰が担当か不明」となるケース
対処法: 事前に更新審査の進め方やよく聞かれる質問をまとめたガイドを全担当者に配布

8.2. 部署間の連携不足とドキュメント不一致

部門が違うだけで、同じ業務でも別の手順書が存在しているなどの重複・矛盾
対処法: ISMSの文書管理責任者や、横断的にレビューする委員会を設置し、定期的に整合性をチェック

8.3. 検証不足のまま新システムを導入

サーバー移行やクラウド化などを進めたが、リスク評価や手順書の改訂が追いついていない
対処法: IT部門・利用部門・セキュリティ部門が連携した**“変更管理プロセス”**を作り、導入前にリスク評価を必ず実施

8.4. 内部監査が形骸化している

形式的に監査をして指摘ゼロ → 改善が進まず、更新審査で指摘される
対処法: クロス監査（別部署のスタッフが相互に監査）や、外部専門家を交えたリアルな模擬審査で本質的な課題を炙り出す

9. 成功事例：更新審査をスムーズに乗り越えた企業のケーススタディ

9.1. A社：定期的なタスク管理でスケジュール遅延を回避

A社では、更新審査の半年前からプロジェクトチームを組み、以下を徹底しました。

毎月の定例会議でタスク進捗を共有
具体的な担当者と期限を明確にし、遅れが生じたらすぐ対処

結果、大きな指摘がほぼゼロで審査を完了し、更新認証をスムーズに取得できました。

9.2. B社：全社的なセキュリティ教育を徹底し、指摘事項をゼロに

B社は、フィッシングメール模擬演習や定期セキュリティ講座などを全社員対象に実施。審査員からも「セキュリティ意識が社内に広がっている」と高評価を得ました。結果、観察事項もほとんどなく、更新審査を一発合格しています。

9.3. C社：コンサル活用で短期間に文書整備と運用体制を強化

C社はIT担当が数名しかおらず、更新審査準備を社内だけで進めるのが困難でした。そこで、ISOコンサルタントに依頼して不足していた手順書や教育資料を短期で整備。審査後も自社メンバーが運用できるよう、ノウハウ移転に力を入れました。結果、スケジュール通りに更新審査に合格しました。

10. Q&A：ISMS更新審査に関する素朴な疑問

10.1. 「維持審査と更新審査、どちらが難しい？」

更新審査の方が審査範囲や書類確認が多いため、難易度は高めです。しかし、毎年の維持審査をきちんとクリアしていれば問題ありません。

10.2. 「更新審査に落ちたらどうなる？再審査は可能？」

不適合の内容によっては、一定期間内に是正報告を提出できれば再審査が行われ、認証を継続できるケースがあります。ただし、期限を過ぎると認証が取り消されることもあるため注意が必要です。

10.3. 「審査のスコープ（範囲）を拡大・縮小したい場合は？」

更新審査時に新しい拠点やシステムを含める（拡大）あるいは不要になった範囲を外す（縮小）ことができます。審査機関と事前に相談しておくとスムーズです。

10.4. 「コンサルに依頼するのは費用対効果がある？」

社内リソースが十分であれば自力でも可能ですが、大規模組織や短期間対応を求められる場合はコンサル活用が有効です。初回だけサポートを受け、その後はノウハウを内製化する企業も多いです。

11. 今後の運用に向けたアドバイス

11.1. 更新審査はゴールではなく“通過点”

認証更新後も、毎年の維持審査や次の更新審査が待っています。サイバー攻撃やセキュリティ技術は日々進化しているため、継続的な改善が必要です。

11.2. リスクアセスメントの定期見直し

リモートワーク、クラウド化、AI活用など、新たなリスクが常に生まれています。定期的にリスクアセスメントを更新し、対策をアップデートしておきましょう。

11.3. 内部監査の質を高め、日常的に課題を検出

内部監査をしっかり行っていれば、更新審査直前に大慌てする必要はありません。部署を跨いだ監査やクロス監査を取り入れると、新鮮な視点で課題を見つけられます。

11.4. 経営層と従業員のセキュリティ意識を高める取り組み

定期的な勉強会や朝礼での情報共有
セキュリティ委員会など横断的な意思決定の場を設置
インシデント事例や成功事例を社内SNSや広報で紹介

12. まとめ

12.1. 記事の総括：維持審査との違い・初心者向け合格ポイントの再確認

維持審査は毎年のチェック、更新審査は3年目に行う本格的な再審査
範囲が広い更新審査の方が難易度は高いものの、日頃からPDCAを回し、維持審査での指摘を確実に潰しておけば怖くありません

12.2. 最後のメッセージ：計画的な運用でISMSを“生きた仕組み”に

ISMS更新審査は、単なる「お役所的な手続き」ではなく、組織のセキュリティレベルを高める貴重な機会です。経営層から現場担当者までが連携し、計画的に取り組むことで、企業全体の信頼度や競争力を強化できます。

以上、ISMS更新審査のポイントと実践的なステップを解説しました。ぜひ本記事を参考に、審査合格と企業のセキュリティ向上にお役立てください。

この記事の監修者情報

金光壮太 (ISOコンサルタント)

大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている

1. はじめに

1.1. 本記事の目的と想定読者

1.2. ISMSの更新審査とは？ざっくり理解しておこう

1.3. 本記事で得られるメリット

2. ISMSの審査サイクルを理解しよう

2.1. 初回認証審査～維持審査・更新審査の流れ

審査サイクルの基本例

2.2. 維持審査の概要

2.3. 更新審査の概要

2.4. 維持審査と更新審査の位置付け比較表