ISMS認証やISMSクラウドセキュリティ認証を取得・維持し続けるためには、サーベイランス審査、もしくは再認証審査のいずれかを毎年受ける必要があります。
その際には、認証機関を変更していない限り、初回審査からずっと同じ認証機関の審査員に来てもらい、審査を実施するかと思います。※審査員が変わることはあります。
今回は、自社が利用している「認証機関」が倒産した場合の対応について、ご紹介したいと思います。
「認定」と「認証」の違いって何?
ところで、ISMS認証などを取得する際には、「認定」と「認証」という言葉をよく目にすることになるかと思いますが、一点ご注意いただきたいのが、「認定」と「認証」は字面こそ一字違いですが、その意味は大きく違っています。
「認定」は、ISO/IEC17021規格を基に、認定機関が審査機関に対して出すものです。
審査機関がおこなっている普段の審査プロセスや審査記録をチェックし、審査機関に所属している審査員のレベルが必要な力量を所持していると判断した場合、「認定」という言葉が使われます。
日本では日本適合性認定協会(JAB)と情報マネジメントシステム認定センター(ISMS-AC)が「認定機関」に該当します。
上記いずれかの機関から、ISO規格ごとの審査において、審査できる力量があるとみなされた審査機関が、「認証機関」として「認定」されます。
一方で「認証」は、認定を付与された審査機関(認証機関)が、例えばISO/IEC 27001規格を基に、普段の業務プロセスや記録から情報セキュリティのCIAが維持されているかどうか審査をおこない、問題ないと判断した組織に対して使う単語です。
そのため、「ISMS認証を付与された」「ISMS認証を取得した」というような言葉を利用しますよね。
従って、一般のISMS認証を取得した組織がHPで認証を取得したということを掲載したときに、「認定」という言葉を用いることはできません。
「認定を受けた」という言葉を利用できるのは認定機関から認定を受けた審査機関(認証機関)のみであるためです。
認証機関が倒産するとどうなる?
認証機関はあくまでも一組織であり、経営の悪化によって倒産する可能性があります。
自社を審査していた認証機関が倒産した場合、自社の認証書の効果が無効になるのではと心配になるかと思います。
しかし、認証機関が倒産したからすぐに認証書の効果が無効になってしまう、というようなことはありません。
ただし、そのままだと次年度の審査を受けることができなくなってしまうため、認証機関が倒産した場合は、他の認証機関に自ら問い合わせたり、自社で利用しているコンサルティング会社があればその会社へ他の認証機関との橋渡しになるようお願いするなどして、次年度以降も継続的に審査を受けられる体制を整えましょう。
認証機関の認定停止というリスク
認証機関が倒産する以外にも、「認証機関が認定停止になる」という事態があることもお含みおきいただければと思います。
実際、2017年10月に英系認証機関であるロイド・レジスター・クオリティ・アシュアランス・リミテッド(LRQA)が、JABにより認定を一時的に停止されるということがありました。
参考:LRQA「JABによる認定一時停止について」(2021年10月6日時点 掲載削除)
認定が一時停止された理由としては、同社が認証を付与していた「株式会社神戸製鋼所」から次々と検査データの不正が発覚したため、審査プロセスに不備があったと判断されたことが挙げられます。
認定停止となった状態では新しい登録証を発行出来ないため、再認証審査や移転に伴う特別審査、事業の拡大審査は実質できないということになります。
そのため、自社が利用する認証機関の認定が一時停止になった場合は、認証機関に相談をしつつ、必要に応じて認証機関が倒産した時のように認証機関を選び直す必要が出てきます。
認証機関をしっかりと選ぼう
認証機関の認定停止や倒産といったことは滅多に起きないことから、その観点から認証機関をどうしようかと悩む必要は正直な所ありません。
しかし、それぞれのコーヒーショップによって味が異なるように、認証機関もそれぞれ審査の仕方が若干異なっています。
例えば、文書重視の審査と現場重視の審査のどちらを望むかを考えたときに、自社が望む方と一致した認証機関を選ぶように、しっかりと認証機関の調査をしましょう。