原理原則の観点ですが、ISMSの適用範囲は、組織の課題や利害関係者のニーズから決定するとなっています。海外在住メンバーもISMSに加えたほうが、組織のセキュリティ課題を解決できたり、顧客や取引先からのニーズに答えられるようであれば、加えるべきだと考えられます。

一方、実務の観点だと、適用範囲には加えないケースが多いです。理由は、海外拠点を含む場合、準備や審査にかかる工数が大きく増加してしまうからです。

そこで現実的に考えられる案としては、「拠点はISMSの適用範囲からは外すが、人員は適用範囲に含める」という方法です。海外拠点を一時的な拠点（リモートワーク時の自宅のような扱いです）と見なすことで、拠点単位では審査対象として外すものの、各種ISMSの取り組みは行っていただく、という案になります。

最終的に適用範囲の妥当性を決めるのは審査機関となります。本件は資本関係や業務範囲、海外側のリスクの大きさなど判断条件が多いため、審査機関とご相談の上、適用範囲を決定ください。