ISO27001(ISMS)の取得費用は、会社の規模でおおむね決まります。この記事では、中小企業向けに規模別の総額・内訳・9001より高い理由・維持費・抑える方法を、具体的な数字でまとめます。
「ISMS(ISO27001)って、9001より高いって聞くけど実際いくら?」
「自社の人数だと、総額でどのくらいかかるの?」
情報セキュリティのISO27001(ISMS認証)を検討すると、まず気になるのが費用です。
先に結論をお伝えします。
ISO27001の取得費用は会社の規模で決まり、コンサル利用なら総額100〜400万円程度+毎年の維持費が目安です。
そしてISO9001より高くなりやすいのには、はっきりした理由があります(後半で解説します)。
- ISO27001(ISMS)取得費用の規模別の相場と内訳
- なぜISO9001より費用が高いのか(情報資産・リスク評価)
- 取得後の維持費用と、3年総額の具体例
- 費用を抑える方法と、自力取得は可能か
ISO全体の費用感は ISO取得費用の相場、コンサルの選び方は ISOコンサルの選び方とおすすめ比較 もどうぞ。
ISOの教科書 編集部
- ISOの教科書 編集部の案内役
- 東証プライム上場企業に勤務後、独立
- 中小企業の担当者向けに、取得・費用・運用をやさしく解説
※本記事には広告リンクを含みます。ただし、相場や判断基準は各認証機関・公的情報を確認したうえで、中立の立場で作成しています。
最初に、規模別の総額の目安をお伝えします。コンサル利用で、〜10名なら100〜180万円、11〜25名なら150〜250万円、〜100名なら200〜400万円が目安です(取得時。別途、毎年の維持費がかかります)。
| 会社の規模 | 取得時の総額目安 | うち審査費用 |
|---|---|---|
| 〜10名(小規模) | 100〜180万円 | 約53万円 |
| 11〜25名 | 150〜250万円 | 約64万円 |
| 〜100名(中堅) | 200〜400万円 | 100万円〜 |
\自社の規模でのISMS費用を無料で確認する/
【結論】ISO27001の取得費用は「規模」で決まる
[セクション画像:ISO27001の取得費用は「規模」で決まる(1024×576)を挿入]
ISO27001(ISMS)の費用には、定価がありません。
最大の決め手は「会社(適用範囲)の規模」です。守るべき情報資産・拠点・人数が増えるほど、審査も文書づくりも大きくなります。
そして費用は取得して終わりではなく、毎年の維持費まで含めた“総額”で見ることが大切です。
いそまる27001は9001より「適用範囲の決め方」で費用が大きく動きます。まずは範囲と規模を押さえましょう。
ISO27001(ISMS)取得費用の内訳【3つの費用】
[セクション画像:ISO27001取得費用の内訳(1024×576)を挿入]
ISO27001の取得費用も、大きく3つに分かれます。
金額の目安は次のとおりです。
| 費用の種類 | 金額の目安(ISO27001) | 補足 |
|---|---|---|
| ① 審査費用(必須) | 取得時 約53〜100万円 | 認証機関に支払う。9001より高め |
| ② コンサル費用(任意) | 数十万〜年100万円超 | 構築のみは数十万円〜 |
| ③ 社内工数(隠れコスト) | 数十万円相当〜 | 情報資産の洗い出し等で大きい |
① 審査費用(認証機関に支払う)
認証を審査して出す独立した認証機関に支払う費用です。ISMSの取得時の審査費用は規模で約53万〜100万円超が目安で、ISO9001より高めです。コンサルを使う・使わないに関わらず必ずかかります。
② コンサル費用(使う場合)
構築のアドバイスのみなら数十万円ですが、取得から運用・更新まで任せると年100万円を超えるケースが多くなります。27001は専門性が高いため、コンサルの実績差が出やすい規格です。選び方は ISOコンサルの選び方とおすすめ比較 で解説しています。
③ 社内の工数(27001はとくに大きい)
ISMSでとくに大きいのが社内工数です。情報資産の洗い出し・リスクアセスメント・ルール整備に担当者と現場の時間がかかります。9001より工数が増えやすいのが、27001が高くなる主因です。
いそまる「審査費+コンサル費+社内工数」の3点で見ると、ISMSの本当のコストが見えてきます。
【規模別】ISO27001の取得費用相場
[セクション画像:規模別のISO27001取得費用相場(1024×576)を挿入]
もっとも費用を左右する「規模」別に、目安を整理します。
審査費用・維持費を規模別にまとめると、次のとおりです。
| 規模 | 審査費用(取得) | 維持・更新審査(年) | 総額の目安(コンサル込み) |
|---|---|---|---|
| 〜10名 | 約53万円 | 約21万円 | 100〜180万円 |
| 11〜25名 | 約64万円 | 約29万円 | 150〜250万円 |
| 〜100名 | 100万円〜 | 48万円〜 | 200〜400万円 |
〜10名(小規模)の相場
審査費用は約53万円。コンサル込みの取得時総額は100〜180万円程度が目安です。守る情報資産・拠点が少ないほど抑えられます。
11〜25名の相場
審査費用は約64万円。取得時総額は150〜250万円程度。部門や拠点が増えると、リスク評価・文書の量も増えて上がります。
〜100名(中堅)の相場
審査費用は100万円〜。取得時総額は200〜400万円程度を見ておくと安心です。クラウド・複数拠点が対象になると、さらに上振れします。
なぜISO27001はISO9001より高いのか?
[セクション画像:なぜISO27001は9001より高いのか(1024×576)を挿入]
同じ規模でも、ISO27001はISO9001より高くなりがちです。理由は大きく3つあります。
順に見ていきます。
情報資産の洗い出しが必要
ISMSは「守るべき情報資産」を一つずつ洗い出すところから始まります。顧客データ・契約書・PC・サーバー・クラウドなど対象が多いほど作業量が増え、費用に直結します。
リスクアセスメントが必須
洗い出した情報資産ごとに、どんなリスクがあり、どう対策するかを評価します。9001にはないこのリスクアセスメントが、27001の工数と費用を押し上げる最大の要因です。
用語:「リスクアセスメント」とは?
情報資産ごとに「漏えい・改ざん・紛失などのリスク」を洗い出し、その大きさを評価して対策を決める一連の作業のこと。ISO27001(ISMS)の中心的な要求事項です。
適用範囲(クラウド・拠点)が広がりやすい
ISMSは「どこまでを認証の対象にするか(適用範囲)」を決めます。クラウドサービスや複数拠点を含めるほど、審査も文書も増えて費用が上がります。逆に、範囲を必要最小限に絞ると費用を抑えられます。
取得後にかかる「維持費用」
[セクション画像:ISO27001の維持費用(1024×576)を挿入]
ISMSも取得して終わりではなく、毎年・3年ごとに費用がかかります。
維持費の中身を見ていきましょう。
毎年のサーベイランス審査費用
認証を維持できているかを確認するため、通常は毎年サーベイランス審査を受けます。費用は規模で約21万〜48万円が目安です。
用語:「サーベイランス審査」とは?
取得後、認証を維持できているかを確認するために通常は毎年行われる審査のこと(維持審査とも呼ばれます)。3年ごとに「更新審査」があります。
3年ごとの更新審査費用
認証の有効期間は3年で、3年目に更新審査を受けて更新します。サーベイランスより範囲が広く、費用も大きくなります。
3年総額のシミュレーション
イメージしやすいよう、具体的な3年総額の例を見てみましょう。
| 時期 | 費用の目安 | 内訳 |
|---|---|---|
| 取得時 | 約160万円 | 審査60万+コンサル100万 |
| 1〜2年目 | 各約30万円 | サーベイランス審査 |
| 3年目 | 約40万円 | 更新審査 |
| 3年総額 | 約260万円 | +社内の維持工数 |
つまり「最初に150万円台、その後は年30万円前後」が、20名規模のISMSのリアルな目安です(あくまで一例で、情報資産・適用範囲によって変わります)。
ISO27001の取得費用を抑える4つの方法
[セクション画像:ISO27001の取得費用を抑える方法(1024×576)を挿入]
ISMSは進め方しだいで費用を抑えられます。やりやすい順に4つ紹介します。
- ① 適用範囲を絞る:必要な部署・拠点・情報資産に限定する(最も効果が大きい)
- ② クラウド前提で設計する:自社サーバーを減らすと管理対象・リスクが小さくなる
- ③ 相見積もりを取る:審査機関・コンサルを複数社で比較する
- ④ 伴走型コンサルを選ぶ:取得後に自走できれば、更新時の再依頼コストを減らせる
とくに①適用範囲を絞るは、27001でいちばん効きます。「全社一括」ではなく、まず必要な範囲から始めるのが賢い選択です。
\適用範囲と費用を、相見積もりの1社として聞いてみる/
ISO27001の自力取得は可能?費用と工数
[セクション画像:ISO27001の自力取得は可能?(1024×576)を挿入]
結論から言うと、自力取得も不可能ではありませんが、27001は9001以上にハードルが高いです。
理由は、情報資産の洗い出しとリスクアセスメントに専門知識が必要で、自己流だと審査でつまずきやすいからです。審査費用は抑えられても、社内工数が膨らんで長期化しがちです。
| 比較軸 | 自力取得 | コンサル利用 |
|---|---|---|
| 支払う費用 | 審査費が中心(53万円〜) | +コンサル費(数十万〜年100万円超) |
| 社内の工数 | 非常に大きい(リスク評価の専門性) | 抑えられる |
| 取得の確実性 | つまずきやすく長期化 | 型があり確実・早い |
| 向いている会社 | 情シスに知見があり時間を割ける | 知見が薄い・確実に取りたい |
「自力=安い」と決めつけず、社内工数まで含めた総額で比べるのがコツです。どちらが向くか・コンサルの選び方は ISOコンサルの選び方とおすすめ比較 でくわしく解説しています。
まとめ:ISO27001の費用は「規模×適用範囲」で総額を見る
[セクション画像:ISO27001の費用まとめ(1024×576)を挿入]
ISO27001(ISMS)の取得費用は、「規模×適用範囲」+「維持費を含めた総額」で考えるのが基本です。
- 認証の適用範囲(部署・拠点・クラウド)を決めた
- 審査費・コンサル費・社内工数の3点で考えている
- 取得時だけでなく、維持費まで含めた3年総額で比べる
- 2社以上に相見積もりを取る予定がある
まずは適用範囲と自社規模での費用を、相見積もりの1社として聞いてみるのが早道です。
\自社のISMS費用を無料で確認する/
ISO27001の取得費用に関するよくある質問
- ISO27001(ISMS)の取得費用は結局いくらですか?
-
コンサル利用の場合、〜10名で100〜180万円、11〜25名で150〜250万円、〜100名で200〜400万円が取得時の目安です。別途、毎年の維持費がかかります。正確な金額は見積もりで確認してください。
- ISO27001はISO9001より高いのですか?
-
はい、高くなりやすいです。情報資産の洗い出しやリスクアセスメントが必要で、9001にはない工数がかかるためです。適用範囲(拠点・クラウド)が広いほど上がります。
- ISO27001の更新料(維持費)はいくらですか?
-
毎年のサーベイランス審査が規模で約21万〜48万円、3年目の更新審査はそれより大きくなります。社内の維持工数も含めて、年間の総額で見ておくと安心です。
- ISO27001の審査費用だけだといくらですか?
-
認証機関に支払う審査費用は、取得時で〜10名 約53万円、11〜25名 約64万円、100名超 100万円〜が目安です。コンサルを使う・使わないに関わらず必要です。
- ISO27001は自力で取得できますか?
-
不可能ではありませんが、リスクアセスメントなどに専門知識が必要で、9001以上にハードルが高いです。審査費は抑えられても社内工数が膨らみやすいため、知見が薄い場合はコンサル利用が現実的です。
- 費用を抑える方法はありますか?
-
適用範囲を絞る、クラウド前提で設計する、相見積もりを取る、伴走型コンサルを選ぶ、の4つが有効です。とくに適用範囲を絞ることが、27001ではいちばん効きます。
- 取得費用は経費にできますか?
-
国税庁の質疑応答事例では、審査登録機関に支払う費用は繰延資産ではなく、その年の損金(一括経費)として処理できるとされています。個別の会計処理は顧問税理士にご確認ください。
コメント