IT/AI救済センター

コラム / コンプライアンス・運用 /

中小企業のISMS(ISO 27001)取得を最小コストで進める実務手順 ─ 初年度150万円台に抑える組み合わせ

審査機関の価格差80万円、文書整備の削減余地、内部監査員養成、ログ保管設計まで現場基準で

📖 約11分 / 公開日: 2026/05/28

ISMS(ISO 27001)取得の見積もりが「初年度350万円、運用400万円」で返ってきて固まる、という相談が直近1年で増えています。結論から言うと、従業員30名以下なら初年度150万円台、20名以下なら110万円台に抑える組み合わせは現実に存在します。ただし、削れる工程と削ってはいけない工程の見極めを誤ると、サーベイランス審査で全部やり直しになる。最初に押さえるべき構造から整理します。

ISMS の費用は大きく3つに分かれます。コンサル費、文書整備の社内工数(人件費換算)、審査機関への支払い。よく値引き交渉の対象になるのはコンサル費ですが、実は「審査機関の選定」のほうが効きます。JIPDEC、BSI、LRQA、SGS、DNV、Bureau Veritas、JQA、ICMS、JIA-QA など20以上ある中で、見積もりレンジは初回審査60万〜180万円、サーベイランス審査30万〜90万円とほぼ3倍開く。日本国内のメジャー所では JIPDEC、JQA、ICMS あたりが中堅価格帯で、ICMS は中小企業向けに価格を意識した設計を出している印象です。

審査機関選定で誤解されがちなのが「JIPDEC でないと取引先に通用しない」という説。JIPDEC(一般財団法人日本情報経済社会推進協会)は ISMS-AC の主体ですが、認定機関は ISMS-AC、UKAS、ANAB、その他いずれでも ISO/IEC 27001 認証としての価値は同等です。BtoB の調達基準で「ISMS 認証取得」と書かれている場合、認定機関を限定しているケースはほぼない。商社の与信や大手 SIer の協力会社認定でも、認証書の発行機関名を理由に弾かれた事例は、相談を受けた範囲では確認していません。

ここを踏まえると、最初の削減余地は明確です。年商10億未満の組織なら、ICMS や JIA-QA、ISO Certificate Japan のような中堅機関で見積もりを3社取り、価格差80万円超を素直に拾う。これだけで初年度コストが平均60万円下がります。

次に文書整備です。ISMS の文書要求事項は ISO 27001 本体の Annex A コントロール93項目に対応する形で組み立てます。コンサル会社が出してくる「フル装備の文書セット」は、内部監査手順書、リスクアセスメント手順書、適用宣言書、情報セキュリティ方針、文書管理規程、入退室管理規程、委託先管理規程、アクセス制御規程、暗号化規程、運用手順書群、と20種類以上に膨らむのが普通。これを白紙から整備する想定で工数100時間・人件費換算50万円を上乗せされている見積もりは、ほぼ確実に過剰です。

現実的には、IPA の「中小企業の情報セキュリティ対策ガイドライン」付録、JNSA の文書サンプル、ISMS-AC が公開している事例集、ChatGPT や Claude を組み合わせれば、汎用文書は8割方が無料で揃います。残り2割の「自社固有部分」だけに工数を集中させる。具体的には、適用宣言書(SoA)の各コントロールに対する「自社の実装方法」の記述、リスクアセスメントの結果記録、内部監査の実施記録、マネジメントレビュー議事録、この4つは自社で書くしかない。それ以外は流用で問題ないというのが現場感です。

リスクアセスメントの工数も削れます。Annex A 93項目のうち、対象組織に該当しない項目(例:ソフトウェア開発を内製していないなら開発関連コントロールは「非適用」)を、適用宣言書で正当に除外する。除外理由を明記すれば審査機関は通します。中小企業のオフィスワーク中心組織で、本当に評価対象になるのは50〜60項目です。

ここで「外部委託先管理」のところだけは絶対に手を抜かないことを強く推奨します。クラウドサービス、SaaS、外部開発委託、業務委託のすべてに対して、契約書のセキュリティ条項、SLA、サブプロセッサー一覧、データ取扱範囲、解約時データ削除手続きを文書化する必要がある。AWS、Microsoft 365、Salesforce、Slack、Zoom、Google Workspace の SOC 2 報告書または ISO 27001 認証書を入手して評価記録に綴じ込む。この記録が不備だと、初回審査で確実に指摘されます。

社内工数の見積もり方も整理します。従業員20名規模で、ISMS 取得をフルにやる場合の社内総工数は、推進担当者で250〜350時間、経営層・各部門責任者で合計80〜120時間、というのが過去案件の中央値です。推進担当者の人件費を時給3,000円換算すると75万〜105万円が目に見えない「自社負担」になる。コンサル費とは別に必ず発生する金額として、最初の経営判断で織り込んでおくべき項目です。

審査前に致命的な準備不足を避ける観点で、内部監査の質が一番効きます。内部監査員養成研修は外部で受講して2名以上立てる。受講料は1人3.5万〜5万円。1日コースで JIPDEC、SGS、BSI、ICMS が定期開催している。社内に「監査する側」が育っていないと、初回審査でも、毎年のサーベイランス審査でも、軽微指摘が積み上がります。3年目の更新審査で追加コンサル費が膨らむパターンの大半が、ここを節約したことに起因します。

クラウド利用が前提の組織なら、ISO 27017(クラウドサービスセキュリティ)と ISO 27018(クラウドにおける個人情報保護)への拡張も検討します。27001 取得時に同時取得すると、追加コンサル費20〜40万円、審査費15〜30万円の上積みで済む。後付けすると、文書改訂と再審査で60万円以上かかります。AWS や Azure を主要インフラに据えている SaaS 事業者は、調達基準で要求されることが増えており、初年度同時取得が経済合理性として勝ちます。

運用フェーズで地味に効くのが、ログ保管要件です。Annex A 8.15(ログ取得)と 8.16(監視活動)への対応で、アクセスログ・操作ログ・セキュリティイベントログを最低1年、可能なら3年保管する設計が要求されます。CloudWatch Logs、Datadog、Splunk、Elastic Cloud、Wazuh あたりが選択肢ですが、コスト最適化を狙うなら S3 + Athena か Cloudflare R2 + ClickHouse の組み合わせが現実解。Datadog で全部やると、20名規模で月8万円超が普通に出ます。同等の保全要件を S3 アーカイブで設計すると月1.5万円以下に収まる。

コンサル無しで取得する選択肢にも触れておきます。情報セキュリティに素養のある推進担当者が1名以上いて、ISO 規格本体を読み込める組織なら、コンサル費0でも取得は可能です。ただし、初回審査で5件以上の不適合指摘が出ると、改善期間中の業務影響が無視できなくなる。コスト削減の総額50〜80万円と引き換えに、認証取得の所要期間が3〜4ヶ月延びるリスクを許容できるか、で判断するのが妥当です。

取得後の運用も含めて最小コストで回したい場合、Notion か Confluence で ISMS 文書を一元管理し、Slack 連携で内部監査と是正処置のワークフローを回す構成が再現性高くワークします。Excel と紙ベースで運用している組織は、3年目以降に必ず文書整合性で破綻するというのが現場の感触です。文書管理の自動化まで含めた初期設計が、運用コストの長期最小化に直結します。

最後に、Pマーク(プライバシーマーク)との関係を整理しておきます。「Pマークを持っているから ISMS は要らない」という発想で止まっている組織を時々見かけますが、調達基準の世界では完全に別物です。Pマークは個人情報保護に特化した日本国内認証、ISMS は情報資産全般を対象とする国際規格。BtoB の元請けが ISMS を要求している場合、Pマークでの代替はほぼ通用しません。両方持つコストは、Pマーク単体運用と比較して初年度+80万円程度。中小企業の場合、目的に応じて片方に絞るか、両方取って調達門戸を最大化するかの判断になります。

認証取得は「ゴール」ではなく、毎年の運用負荷との戦いが本番です。最小コストで取得して、最小コストで維持し続ける設計を、初年度の段階で組み込んでおく。これが現場で実証された一番の節約手段です。

具体的な状況をご相談ください

記事の内容に該当しそうなら、まずは60分の無料相談でご相談を。

60分無料相談を予約
緊急 AI診断 60分予約