認証機関が倒産したらどうなるの?

この記事は約3分で読めます。

ISMS認証ISMSクラウドセキュリティ認証を取得し維持し続けるためには、サーベイランス審査、もしくは再認証審査のいずれかを毎年受ける必要があります。

その際には、審査機関を変更していない限り、初回審査からずっと同じ審査機関に属する審査員が来て審査を実施するかと思います。 ※審査員が変わることはあります。

認証を付与できるかを審査する審査機関を認証機関といい、日本では日本適合性認定協会JAB)もしくは、情報マネジメントシステム認定センターISMS-AC)のいずれかから、ISO規格ごとの審査において、審査できる力量があるとみなされた場合、認証機関として認定されます。

認定と認証の違いって何?

認定」と「認証」は、一字違いで大きく意味が変わってきます

認定」は、認定機関がISO/IEC17021規格を基に、普段の審査プロセスや審査記録を審査し、審査機関に所属している審査員のレベルが必要な力量を所持していると判断された場合に付与された時に使う単語です。

一方、「認証」は、認定を付与された認証機関が、例えばISO/IEC27001規格を基に、普段の業務プロセスや記録から情報セキュリティのCIAが維持されていると判断された場合に付与された時に使う単語です。

従って、一般企業がHPで認証を取得したということを掲載した時に、「認定」と用いていると認証機関から指摘が入ります。

認証機関が倒産するとどうなる?

認証機関はあくまでも一組織であり、経営の悪化によって倒産する可能性があります。

自社を審査していた認証機関が倒産した場合、自社の認証は倒産した当日から無効になるということはありません。

一方で、例年通りの毎年の審査は必ず行わないといけません。

認証機関が倒産した場合は、直接、他の審査機関に問い合わせたり、自社のコンサルティング会社に他の審査機関との橋渡しになるようお願いするようにし、継続的に審査を受けるようにしましょう。

認定機関の認定停止というリスク

2017年10月に、英系認証機関であるロイド・レジスター・クオリティ・アシュアランス(LRQA)が、JABにより認定を一時的に停止されるということがありました。

認定が一時的に停止したのは、認証を付与していた株式会社神戸製鋼所から次々と検査データの不正が発覚したことから、審査プロセスの不備があったと判断されたことが1つの要因でした。

認定停止となった状態でも、継続審査は引き続き出来ますが、新しい登録証を発行出来ないということから、再認証審査や移転に伴う特別審査、事業の拡大審査は実施できないということになります。

認定が一時的に停止になった場合は、認証機関に相談しつつ、必要に応じて認証機関が倒産した時のように認証機関を選び直す必要が出てきます。

認証機関をしっかりと選ぼう

認証機関の認定停止や倒産といったことは滅多に起きないことから、その観点から認証機関をどうしようかと悩む必要は正直な所ありません。

しかし、認証機関によって審査の仕方が若干異なっています。

例えば、文書重点の審査と、現場重点の審査のどちらを望むかを考えた時に、自社が望む方と一致した認証機関を選ぶように、しっかりと認証機関の調査をしましょう。

ISMS / ISO27001認証取得を目指すISO27017ISO27701ISO
タイトルとURLをコピーしました