ISO27001(ISMS=Information Security Management System)は、情報セキュリティに関する第三者認証の規格です。ISO推進室の現在の任務は、ISMSの維持・管理です。そのためには、ISMS適用範囲内の部署・社員に対して、業務をチェックしたり、報告をもらったりするなど、いろいろと注文をつけることがあり、見方によっては煙たい存在の部署といえます。
　こうしていつもチェックをする側のISO推進室が、逆にチェックを受けることが年に最低３回あります。それは、年に１度の外部審査（*1）と年に２度の内部監査です。外部審査は、文字通り、外部の審査機関の審査員の方に適用範囲全体について審査していただきます。審査で不適合事項が発見されなければ、無事「ISO27001の認証取得事業者」として登録されます。一方、内部監査は、社内の内部監査員が、ISMSがきちんと運用されているかどうかをチェックします。
　内部監査の目的は、自分たちが構築したISMSが要求事項に適合しており、期待通り運用され、かつ、それが有効であることを確認することです。単なる“あら捜し”ではありません。誤解を恐れずに言えば、不適合が見つかることよりも、運用、すなわちPDCAサイクル（*2）が回っていないことの方が大問題なのです。多少の不適合が発見されても、きちんと是正されるのであれば、それは全体としてはISMSがきちんと運用されていることになります。

　今回は、ライブドアネットワーク事業部で行なわれている内部監査を、誌面で再現してみましょう。多少脚色してありますが、実話に近い物語です。

【登場人物】

とみい ： 内部監査員リーダー。冷静沈着な技術部シニアマネージャ。

がんぞ ： ISO推進室所属。23歳独身。おやびんという名の愛犬と二人暮らし。彼氏募集中。

とみい ： それでは、内部監査を始めます。よろしくお願いします。
がんぞ ： よろしくお願いします。
とみい ： まず最初に、基本的な文書の確認をします。適用範囲に変更はありませんね。
がんぞ ： （知ってるくせに……）
とみい ： 何か言いましたか？
がんぞ ： いえ、適用範囲に変更はありません。
とみい ： では、適用範囲図、ネットワーク図を見せてください。
とみい ： ……（無言でネットワーク図を眺めること１分間）……
がんぞ ： あ、あのう……
とみい ： ここのネットワーク構成、この間、ちょっと変えたよね？
がんぞ ： ええ？　あ、ほんとだ。（うう、流石はネットワークの専門家だ。）はい、その通りです（汗）。
とみい ： では、フォローアップの時に確認するので、修正しておいてください。
がんぞ ： はい、わかりました。（汗）
とみい ： あとは問題ないようですね。では、前回審査の観察事項とセキュリティインシデントの対応状況を確認します。ええと、前回は、事業継続計画の再検討が観察事項としてありましたね。
がんぞ ： はい、事業継続計画については、再検討の上、「事業継続計画管理規程」を見直しました。これが、その規程です。
とみい ： どれどれ……？　……変わってないみたいだけど？
がんぞ ： え？そんなはずは……あれ？ちょっと待ってくださいね。えっと……（あたふたあたふた）あ、あった。最新版は、こっちです。
とみい ： ふむ。文書の更新管理に問題があるようですね。
がんぞ ： あ、あの、ご存知のように、今度、文書管理システムを導入することになっていまして、えっと、それができれば、版管理もしっかりできますし……（しどろもどろ）
とみい ： わかりました。では、次回の監査で確認しますね。観察事項っと（メモする）。
とみい ： 次は……リスクアセスメントは実施しましたね？リスクアセスメントの結果とリスク対応計画（*3）を見せてください。
がんぞ ： はい、リスクアセスメント結果は、これです。リスク対応計画はこれですが、これとこれは、まだ対応していません。
とみい ： う〜ん、内部監査ではリスク対応の結果も見たいんですがねえ。年間スケジュールを変更して、リスクアセスメントをもっと早い段階でやった方がいいんじゃないですか？
がんぞ ： むむむ、おっしゃる通りです。検討しますです、はい。
とみい ： では、観察事項にしておきますね。
がんぞ ： （むぎゅぅ）

（その他、いろいろ指摘されるが、なんとか乗り切るがんぞ）

とみい ： では、これで、ISO推進室に対する内部監査を終了します。報告書は、後で情報セキュリティ委員長に提出します。お疲れ様でした。
がんぞ ： （ほっ）はい、お疲れ様でした。
とみい ： あ、そうそう、全部門を監査するのに、現在の人数ではきついので、内部監査員の増員も検討してくださいね。これも、観察事項にしておきますね。
がんぞ ： は、はい……

　この後、とみいは、次の監査対象部門の内部監査へと向かい、がんぞは、観察事項とされた問題を検討し始めるのでした。

　私たちは毎年、外部の審査機関によるチェック（審査）を受けてはいますが、それだけではなく、今回の内部監査のように自主的に相互チェックを行なっています。内部監査員リーダーのとみいも、実は他の内部監査員から監査される立場でもあるのです。
このようにして、外部審査や内部監査を実施することにより、担当者本人が気付かない問題に気付かされることがあります。外部審査や内部審査は認証を受けるために実施しているのではなく、セキュリティレベルや業務効率の向上を図るために実施しているのです。
　私たちは、今後もセキュリティレベルや業務効率の向上を目指して努力していきます。

■本文注釈
（*1）ISO27001（ISMS）では、認証取得後も毎年１回以上の維持審査が必要。又、有効期間は３年間のため、３年に一度は更新審査が必要となる。
（*2）計画（Plan）、実行（Do）、確認（Check）、対策（Action）を繰り返し、絶えず改善を図っていくこと。
（*3）リスクアセスメントの結果、リスクが大きいと判断された事象に対し、リスクを減らすために何らかの対応をするための計画。