ISMSの審査機関の中には、ISMS-ACの認定がある審査機関と、ISMS-ACの認定がない審査機関があります。両者の違いについて見ていきましょう。
ISMS-ACとは
ISMS-ACは、日本でISMS認証制度(正式には「ISMS適合性評価制度」)を運営している団体です。正式名称を「情報マネジメントシステム認定センター」と言います。
認定機関と呼ばれており、審査を行う審査機関を「認定する」役割を有しています。日本国内では、27の審査機関が、ISMS-ACから「認定」されています(2021年7月現在)。
ISMS-ACの認定がある審査機関
ISMS-ACの認定がある審査機関とは、ISMS-ACからの認定を受けて、ISMSの審査サービスを提供している審査機関のことです。このISMS-ACの認定がある審査機関から審査を受けることで、以下のようなメリットがあります。
有名なISMSシンボルマークが利用できる
ISMS認証を取得している企業や組織でよく見かける以下のシンボルは、ISMS-ACのシンボルです。ISMS-AC認定の審査機関から審査を受けることで、そのシンボルを利用する事ができます。
逆に言うと、ISMS-AC認定を受けていない審査機関から審査を受けたとしても、以下のシンボルを利用することはできません。
画像は ISMS-ACのWebページ から引用
(注意)シンボルの利用については厳密なルールがあります。詳しくは、審査機関から配布されるシンボル利用についての注意をよく確認してください。
ISMS認証取得組織検索に掲載される
ISMS-ACのWebページでは、ISMS認証を取得している組織を検索することができます(検索ページを開く)。ISMS-AC認定の審査機関から審査を受けることで、この認証取得組織検索に、社名や組織名を掲載することができます(掲載を拒否することもできます)。
ここに掲載されることで、ISMS認証を取得していることを、広く周知することができます。
逆に、ISMS-AC認定を受けていない審査機関から審査を受けた場合、このISMS認証取得組織検索には表示されません。
信頼性のある審査を受けることができる
ISMS-ACの認定を受けた審査機関は、ISMS-ACの定める基準に基づいた審査を実施しています。
そのため、信頼性の高い審査を受けることができます。
ISMS-ACの認定がない審査機関
ISMSの審査サービスを規制するための法律は、国内にはまだ存在しません。
そのため、ISMS-ACの認定を受けていない審査会社でも、日本国内でISMSの審査サービスを提供することができます。
ISMS-ACの認定がない審査機関の審査は、以下のようなメリットがあります。
審査時間が少なく、審査費用が安いことがある
ISMS-ACの認定を受けていないため、良くも悪くも、審査に柔軟性を持たせることができます。
そのため、審査機関によっては、ISMS-ACの認定を受けている審査機関よりも、審査時間が短く、審査費用を安く、審査サービスを提供していることがあります。
ISMS-ACの認定がないからと言って、すぐに信頼の無い審査機関だと決めつける事はできません。
審査会社によっては、日本の認定機関であるISMS-ACの認定はないものの、海外の認定機関から認定を受けているケースも多いです。どの認定機関から認定を受けているかは、その審査機関や審査サービスの信頼性にも直結します。審査機関を選定するときには、その審査機関が、どの認定を取得しているのかを確認するようにしましょう。
ISMS-ACの認定がある審査機関とない審査機関の比較
多くの組織が、ISMS-AC認定を受けた審査機関から審査を受審しています。
一方で、全体数は不明ではあるものの、ISMS-AC認定を受けていない審査機関からISMS認証を取得している会社も存在いたします。
上記の内容を表にまとめると、以下のようになります。
ISMS-AC認定 | あり | なし |
ISMS-AC シンボルの利用 | ○ | × |
ISMS-AC 認証取得組織検索への掲載 | ○ | × |
認定機関による信頼 | ある | 一概にいえない |
審査時間 | 一概にいえない | 一概にいえないが短いことがある |
審査費用 | 一概に言えない | 一概にいえないが安いことがある |