内部監査とは？ISMSが有効に運用されているか確認する仕組み【SG試験】

まず結論

内部監査とは、組織が自分たちのISMSについて、

決めたルールや要求事項に適合しているか
ISMSが有効に実施・維持されているか

を、定期的に確認する活動です。

SG試験では、内部監査を 「認証機関が行う審査」ではなく、組織が自ら行う確認活動 として切り分けることが大切です。

直感的な説明

内部監査は、学校でいうと 先生が来る前に、自分たちで持ち物や提出物を確認すること に近いです。

外部の審査を受ける前に、

ルールどおりに運用できているか
記録は残っているか
前回の指摘が改善されているか

を、組織の中で確認します。

ポイントは、 悪い人を探すためではなく、仕組みがうまく回っているかを見ることです。

定義・仕組み

ISMSを運用している組織は、定期的に内部監査を行います。

内部監査では、主に次の2点を確認します。

ISMSが要求事項に適合しているか
ISMSが有効に実施され、維持されているか

ここでいう要求事項には、JIS Q 27001の要求事項だけでなく、組織が自分たちで定めたルールや手順も含まれます。

たとえば、

情報セキュリティ方針
リスクアセスメントの手順
アクセス権管理のルール
教育訓練の記録
インシデント対応手順

などが確認対象になります。

どんな場面で使う？

内部監査は、ISMSを継続的に改善するために使われます。

たとえば、次のような場面です。

定めた手順どおりに運用されているか確認する
教育や点検の記録が残っているか確認する
前回の監査で指摘された内容が改善されたか確認する
リスクの高い業務プロセスを重点的に確認する
マネジメントレビューに必要な情報を集める

内部監査の結果は、その後の是正処置や改善活動につながります。

つまり、内部監査は PDCAのCheckにあたる活動と考えると理解しやすいです。

よくある誤解・混同

誤解1：内部監査は認証機関が行う

これは誤りです。

認証機関が行うのは、 ISMS認証のための維持審査や更新審査です。

内部監査は、基本的に組織が自ら行う確認活動です。ただし、必要に応じて外部の専門家を利用することはあります。

誤解2：監査員は必ずISMS認証機関が認定した研修修了者でなければならない

これも試験で狙われやすい表現です。

内部監査員には、客観性や公平性が求められます。ただし、 認証機関が認定した研修修了者でなければならない という決まりではありません。

「必ず」「認定機関が認めた」などの強い表現には注意です。

誤解3：監査範囲はJIS Q 27001の管理策だけに限定される

これも誤りです。

内部監査では、JIS Q 27001の要求事項だけでなく、組織が定めた要求事項や関連するプロセスも対象になります。

つまり、 規格だけを見るのではなく、組織の実際の運用も見る ということです。

誤解4：監査プログラムは前回までの監査結果を考慮しなくてよい

これは誤りです。

内部監査の監査プログラムでは、関連するプロセスの重要性や、前回までの監査結果を考慮します。

たとえば、前回指摘が多かった部署や、リスクが高い業務は、重点的に確認する対象になりやすいです。

試験での切り分けポイント

SG試験では、内部監査を次のように切り分けると判断しやすいです。

用語	見る人	目的
内部監査	組織内部の監査員など	ISMSが適合・有効か確認する
認証審査	認証機関	ISMS認証の可否や維持を確認する
マネジメントレビュー	経営層	ISMSの改善や方針を判断する

内部監査は、 現場の運用を確認する活動です。

マネジメントレビューは、内部監査の結果などをもとに、 経営層が改善の方向性を判断する活動です。

まとめ（試験直前用）

内部監査で押さえるポイントは、次の3つです。

組織が自らISMSの状況を確認する活動
要求事項への適合と、有効な実施・維持を確認する
監査プログラムでは重要性や前回監査結果を考慮する

試験では、 「認証機関が行うものか」「組織が自ら行うものか」 をまず切り分けると、選択肢を判断しやすくなります。