幅広い業界・業種のIT化が進む現代では、インターネット上に社内情報を保存する機会も増えています。
情報共有の利便性は大きなメリットですが、ハッキングやマルウェアなど悪質な攻撃を受けるケースも少なくはありません。
社内情報が盗用されてしまった場合、企業の信用が低下するだけでなく資産価値を失う可能性も高いです。
そこで情報セキュリティリスクを管理するために、ISMS認証の取得が推奨されています。
ISMSは情報セキュリティのリスクを管理する仕組みであり、取得することで情報漏洩の防止やIPOの工数削減が可能です。
当記事では、ISMS認証にかかる取得費用や更新・コンサルに依頼した場合の相場について詳しく解説します。
ISMS認証を取得するために明確な予算確保ができるため、ぜひ参考にご覧ください。
ISMS認証取得のための主な費用は?
ISMS認証を新規取得する場合、必要なものは審査費用です。
審査費用は企業の規模や業種、審査機関によって異なるため、事前に相場をチェックすることが大切です。
ただし、自社対応をしないなら、専門のコンサルティング会社に依頼する費用が別途必要になります。
こちらでは、ISMS認証取得にかかる費用について以下の内容を詳しく説明します。
ISMS認証取得をスムーズに進めるためにも、ぜひチェックしてください。
審査費用の相場は?
前述でも説明した通り、ISMS認証の審査費用は企業の規模や業種、審査機関によって異なります。
ISO関連の情報を紹介しているISOプロ※によると、一般的にISMS認証の審査費用は50万円〜100万円程度が相場です。
自社対応とコンサルティング会社の依頼はどちらを選択したとしても、必ず審査費用はかかります。
ISMS認証に必要な審査費用を詳しく知りたいなら、複数の審査機関から見積もりを出して比較すると良いでしょう。
参照元
ISMS認証取得後にかかる追加費用は?
ISMS認証取得後には、継続的なセキュリティ管理を行うために人的コストが必要です。
社内の担当者にセキュリティ管理を任せる場合、人的リソースがかかるので負担が大きくなります。
コンサルティング会社に依頼しているなら、同じく追加のコンサル費用が発生します。
自社のリソースが限られている時は、コンサルティング会社に依頼することで負担を軽減可能です。
そのため自社の人的リソースを削減したい時はコンサルティング会社に依頼しましょう。
自社対応とコンサルタント利用はどちらがお得?
ISMS認証には高額な費用がかかるため、企業が取得するには十分な予算確保が必要です。
これからISMS認証の取得を検討している方のなかには「自社対応とコンサルタント利用のどちらがお得かわからない」という悩みもあるでしょう。
こちらでは、自社対応とコンサルタントに依頼した場合の費用について解説します。
費用面の比較ができるので、ぜひ参考にご覧ください。
ISMS認証取得の自社対応にかかる費用
ISMS認証取得を自社対応する場合、従業員の人件費が発生します。
人件費は、従業員の人数、給与、対応期間から算出されることが一般的です。
例えばISMS認証までに1年間かかり、従業員の給与が30万円で3名必要だったとします。
すると30万円(自社社員の給与)×3人(対応人数)×1年(対応期間)の計算になるので、1,080万円の費用がかかります。
対応する従業員数を減らすことで人件費を抑えられますが、ISMS認証取得までに対応期間が長引く可能性も高いです。
そのためISMS認証取得を自社対応するなら、高額な費用がかかることを理解しておきましょう。
コンサルタントに依頼した場合の費用
ISMS認証取得をコンサルタントに依頼する場合、相談料のみと相談料+運用費の2種類があります。
依頼側の規模や業種、サービス範囲などによって費用相場は大きく異なりますが、相談料のみなら年間30万円程度、相談料+運用費なら年間40万円程度かかります。
費用相場はあくまでも目安なので、依頼するコンサルティング会社によって前後する可能性は高いです。
そのためISMS認証取得をコンサルタントに依頼する時は、複数社から見積もりを出して費用とサポート内容を比較しながら決めると良いでしょう。
自社取得とコンサル依頼は結局どちらがお得か?
ISMS認証取得の費用を考えると、自社取得よりもコンサル依頼のほうがお得です。
自社取得の場合、コンサル費用がかかりませんが従業員の人件費や審査費用はかかります。
自社の担当者にISMSの知見がなければ、実施期間が長くなりコンサル依頼よりも高額な費用が発生します。
また、ISMS取得には複雑な手続きや条件が伴うため、社内業務に一定の負荷がかかるので全てカバーすることは現実的ではありません。
ISMS認証取得に特化したコンサルタントに依頼すれば、自社の課題に合わせて短期間のうちに手続きを進めることが可能です。
結果として時間やコストを最適化でき、総合的な費用を考えるとコンサル依頼のほうがお得にISMS認証取得を行えます。
そのため費用面を重視するなら、コンサル依頼を通じてISMS認証取得を進めると良いでしょう。
コンサル依頼費用の相場は?【3社比較】
ISMS認証取得のコンサル依頼費用は、対応する企業によって大きく異なります。
代表的なISOのコンサルティング会社を比較すると、以下のような費用相場となっています。
| コンサルティング会社 | 費用(月額) | 費用(年間) |
|---|---|---|
| ISOプロ ※1 | 4万円〜 | 48万円〜 |
| 認証パートナー ※2 | 4万円〜 | 48万円〜 |
| ISOナビ ※3 | 4万円〜 | 48万円〜 |
ご覧の通り、コンサルティング会社の費用は基本的に同じです。
ただし、料金はあくまで一例であるため、コンサルティング会社の実績や経験値等によって幅があります。
また、会社の規模や業種、オプションサービスの追加によって、通常料金以上の費用が発生する可能性も高いです。
上記表の費用はコンサルティング会社への依頼料金のため、審査費用は別途必要になります。
はじめから1社に絞らず、複数のコンサルティング会社から見積もりを出しながら最終的な依頼先を決定しましょう。
ISMS認証取得後に必要な維持費・更新費用とは?
ISMSには有効期限があり、認証取得後には定期的な「定期審査」と「更新審査」があります。
新規取得審査と同じく、維持審査と更新審査には費用が必要です。
こちらでは、ISMS認証取得後に必要な維持費・更新費用について以下の項目を解説します。
継続的な運用を実施するためにも、ぜひ参考にご覧ください。
定期審査(維持審査)と更新審査
ISMSは新規取得から有効期限が3年となっており、1年ごとに定期審査、3年ごとに更新審査があります。
定期審査と更新審査はそれぞれ費用が発生し、会社の規模や業種、審査機関によって料金は変動します。
審査機関の審査員が企業まで足を運ぶため、交通費や宿泊費などの費用が別途必要です。
定期審査は運用面、更新審査は登録更新に問題ないかチェックされ、ISMSの趣旨に則った審査が実施されます。
定期審査と更新審査はそれぞれ指摘事項が出されることもあり、更新審査時に処置を実行しなければ認証登録の更新ができません。
正しいISMS運用を継続するためにも、必ず定期審査と更新審査を行うようにしましょう。
ISMS認証取得後のコンサルティング費用
ISMS認証取得後にコンサルティング会社のサポートを受ける場合、相談料や運用費が必要です。
依頼するコンサルティング会社によって必要な費用は異なりますが、前述でも説明した通り相談料のみなら年間30万円程度、相談料+運用費なら年間40万円程度かかります。
自社対応だけでは正しいISMS運用ができないケースもあるため、専門的なアドバイスが必要な時はコンサルティング会社の依頼がおすすめです。
担当コンサルタントから得たアドバイスを社内情報として蓄積すれば、徐々に内製化を進めて自社対応できるようになるでしょう。
ISMSとPマークのどちらを取得すべきか?
ISMSと類似する制度として、Pマークがあります。
企業の経営者や担当者の方は「ISMSとPマークの違いがわからづらい」という悩みもあるでしょう。
こちらでは、ISMSとPマークの違いについて詳細を説明します。
体系的にご紹介しますので、ぜひ参考にしてください。
ISMSとPマーク(プライバシーマーク)の違い
PマークはJIPDEC(一般財団法人日本情報経済社会推進協会)が運営する制度であり、事業者が個人情報のプライバシー権を保護していることを証明するものです。
Pマークを取得することで、事業者が個人情報を正しく管理しているアピールになり、顧客からの信頼性向上へとつながります。
ISMSとPマークの具体的な違いについては、以下の表をご覧ください。
| ISMS | Pマーク | |
|---|---|---|
| 規格 | 国際標準規格 ISO/IEC27001:2013 日本産業規格 JISQ27001:2014 | 日本産業規格 JISQ15001:2017 |
| 対象 | 適用範囲内の全ての情報資産全般 (ハードやソフト、当然に個人情報を含む) | 企業内の全ての個人情報 (従業員の個人情報を含む) |
| 要求 | 情報の機密性・完全性・可用性の維持 (情報資産の重要性、リスクに応じた適切な情報セキュリティ) ※個人情報については、個人情報保護法および契約上の要求事項の順守が求められる。 | 適切な個人情報の取り扱い (個人情報の取得、利用、共同利用、委託、提供、安全管理(情報セキュリティ)、開示等要求対応、苦情対応など) ※個人情報保護法を包括する厳格な取り扱いが求められる。 |
| 更新 | 1年ごとの定期審査、3年ごとの更新審査 | 2年ごとの更新審査 |
| セキュリティ対策 | 114項目の詳細管理策 | 合理的な安全対策 |
ISMSは情報セキュリティリスクを管理するものなので、自社を守るリスク管理の役割が強いです。
一方Pマークは顧客情報を保護する意識が強く、それぞれの規格は違いがあります。
情報セキュリティ管理の徹底を示したいならISMS認証を取得しよう
ISMSは情報セキュリティリスクを管理している証明になるため、幅広いデータを取り扱うIT業の企業が多く取得しています。
Pマークは個人情報を取り扱う幅広い業界で取得されており、顧客からの信頼性を向上したい企業に最適です。
このようにそれぞれメリットがあるので、業界や業種によって取得すべき制度は異なります。
顧客情報を守りたい意識が強いならPマーク、自社の情報セキュリティリスクを正しく管理したいならISMSの取得がおすすめです。
ISMSやPマーク取得の際の助成金や補助金について
ISMS取得は自社対応・コンサル依頼に関わらず、高額な費用が発生します。
予算確保が難しい企業では、取得を断念しなければいけないケースもあるでしょう。
そんな時は、国や自治体が展開している助成金や補助金の活用がおすすめです。
現在国レベルでのISO取得費用の補助制度は存在しませんが、地方公共団体単独の補助制度はあります。
こちらでは、ISMSやPマーク取得に活用できる助成金や補助金について紹介します。
自社の負担を軽減できるため、ぜひ参考にご覧ください。
補助金申請ができる自治体の紹介
こちらでは、各地方自治体が実施している補助金・助成金の種類を表にしてまとめました。
同じ地域に拠点を置くのであれば、ぜひ参考にご覧ください。
| 地区 | 補助金・助成金 | 補助金額 |
|---|---|---|
| 東京都港区 | ISO等取得支援事業補助金 | 上限50万円 |
| 東京都新宿区 | 経営力強化支援事業補助金 | 上限20万円 |
| 東京都墨田区 | ISMS助成金制度 | 3分の1または27万円 |
| 東京都江東区 | ISMS助成金制度 | 20万円 |
| 東京都江戸川区 | ISO認証取得助成金 | 30万円~100万円 |
| 東京都目黒区 | ISMS助成金制度 | 限度額80万円(対象経費3分の2) |
| 東京都足立区 | ISO認証取得助成金 | 限度額50万円(対象経費2分の1) |
| 千葉県千葉市 | ISMS助成金制度 | Pマーク30万円 ISMS60万円 |
| 茨城県ひたちなか市 | ISMS助成金制度 | 限度額10万円(対象経費2分の1) |
| 愛知県春日井市 | ISO取得事業助成金 | 限度額50万円(経費20%) |
| 新潟県佐渡市 | ISMS助成金制度 | 限度額50万円(対象経費2分の1) |
上記表からわかる通り、東京を中心としたISMSの補助金や助成金を申請できる地方自治体は多数あります。
地区によって補助金額は異なりますが、ISMS取得に必要な費用を大幅に軽減できます。
ただし、地方自治体の補助金や助成金を受け取るには、いくつかの条件や書類の用意が必要です。
そのため在住の地方自治体公式ページをチェックし、ISMS関連の補助金や助成金について調べておくようにしましょう。
補助金ビジネスを謳ったコンサル業者には注意してください
コンサルティング会社のなかには、補助金ビジネスを謳った悪質な業者も存在します。
代表的な手法として、雇用関係助成金を活用してPマーク取得費用を削減することを主張する流れがあります。
雇用関係助成金とは、雇用の安定や働き方改革、人材育成に必要な費用を支援する助成金です。
しかし、雇用関係助成金はISMSやPマーク取得の対象とならないため、こちらの手法は詐欺罪に摘発される可能性が高いです。
そのため誤った補助金や助成金の活用を提案してくる場合、すぐに取引を中止するようにしておきましょう。
ISMSの費用に関するよくある質問
最後に、ISMSの費用に関するよくある質問について回答します。
疑問を解消しながらISMS認証の取得を進められるため、ぜひチェックしてください。
ISMS(ISO27001)を取得するメリットは何ですか?
ISMSの取得によって情報セキュリティのリスク管理ができるため、顧客からの信頼度を向上できます。
情報資産に対する社内のモラル向上も期待でき、社内外にとってメリットが大きいです。
ISMSの取得は必須事項ではありませんが、顧客やクライアントと信頼関係を築くには重要な役割があります。
ISMSを取得しないデメリットは何かありますか?
ISMSの取得しない場合、情報セキュリティの管理体制について問題視されます。
顧客からも不安なイメージを持たれるため、信頼度が低下する可能性が高いです。
ISMSの費用を削減する方法はありますか?
ISMSの費用を削減するには、コンサルタントの選定と不要な設備投資の削減がおすすめです。
コンサルティング会社は企業によって対応範囲やサービス内容が異なり、数十万円の料金差が出ることもあります。
複数社のコンサルティング会社から、対応実績やサービス内容を比較することで費用を抑えられる企業が見つかります。
またISMSは定期的な審査費用がかかるため、今後のことも考えて審査機関を選定することも大切です。
さらにISMS取得にはITツール導入や業務システムの改修に費用がかかりますが、必要性がないものは無理に用意する必要はありません。
ISMS取得に必要かどうかを慎重に考え、最低限の設備投資に済ませることで費用を削減できるでしょう。
審査機関に対してどのような費用を支払う必要がありますか?
審査機関には、第1段階・第2段階審査費用や登録費用、審査員の交通費・宿泊費などの費用が必要です。
50万円〜100万円程度が相場となっており、依頼する審査機関によって費用は変動します。
そのためISMSの取得前には、複数の審査機関から見積もりを出して費用と支援内容を比較すると良いでしょう。
ISMSはどのくらいの規模(従業員数)から取得が可能ですか?
ISMSは、従業員数1名から取得可能です。
大規模な企業でなくても取得を目指せるため、多くの中小企業も実施しています。
ISMS費用のまとめ
今回は、ISMS認証にかかる取得費用や更新・コンサルに依頼した場合の相場について詳しく解説しました。
ISMSは情報セキュリティリスクを管理する仕組みであり、取得することで情報漏洩の防止やIPOの工数削減が可能です。
ISMSの取得には自社対応とコンサル依頼の2種類がありますが、費用面やサポート内容を考えるとコンサルタントの依頼がおすすめです。
担当のコンサルタントは専門的な知見を持っているため、スムーズにISMSの取得を進められます。
自社の情報セキュリティリスクを管理するためにISMS取得を目指すなら、専門のコンサルティング会社に相談するようにしましょう。
