内部監査マニュアル

MNL-005 draft v1.0 作成: 鈴木謙吾

本マニュアルは、エアーズ株式会社における情報セキュリティマネジメントシステム（ISMS）の内部監査を、監査員が一貫して実施できるようにまとめた実務指針である。

内部監査は、ISMSが規格（JIS Q 27001 / ISO/IEC 27001）に適合し、かつ効果的に運用されているかを確認するための重要な活動であり、監査員には客観性・独立性をもって監査を行うことが求められる。

本マニュアルでは、

監査の計画立案から実施、報告、是正処置のフォローアップまでの流れ
監査記録の残し方、証跡の確認方法
ヒアリングや証憑レビュー時の留意点

を体系的に示している。

監査員は本マニュアルを参照しながら、各ステップごとに必要なチェックを行い、確実に監査記録を残すことで、監査活動の一貫性と再現性を確保することができる。

1. 目的

内部監査を計画的かつ一貫して実施し、ISMSの有効性を評価・改善すること。

2. 適用範囲

エアーズ株式会社のISMS適用範囲に含まれる全組織・部門・業務。

4. 役割と責任

内部監査責任者
監査計画の策定、監査員の指名、報告書の承認。
内部監査員
監査の実施、記録作成、報告。
被監査部門
証跡の提示、是正処置の実施。

5. 監査の種類

内部監査は、ISMSの有効性および社内規程の遵守状況を確認するために実施する。
監査は、その目的と実施タイミングに応じて、以下の3種類に区分する。

5.1 定期監査（年次監査）

目的

毎年度少なくとも1回以上、ISMS全体の運用状況を計画的に確認し、方針・手順・記録が
JIS Q 27001（ISO/IEC 27001）および社内規程に適合しているかを評価する。

対象

ISMS適用範囲内の全ての組織・部門・プロセスを対象とする。
（例：開発部門、営業部門、総務部門、委託業務管理など）

計画

年度開始時に「監査計画書」を作成し、内部監査責任者の承認を得てから実施する。
監査計画には、以下を含めること：

対象部門・範囲・日程
監査目的および監査基準
監査員の氏名および役割分担
使用するチェックリストおよび参照文書（Annex A対応）

実施頻度

原則として年1回以上。
ただし、組織変更・外部監査指摘・重要システム更新などが発生した場合は、
臨時監査を追加で実施できる。

監査基準

報告

監査終了後、監査員は「監査報告書（RPT-002）」を作成し、トップマネジメントに報告する。結果はマネジメントレビューに反映する。

5.2 臨時監査（特別監査）

目的

特定の事象やリスクが発生した場合に、限られた範囲で迅速に監査を実施し、原因・影響および改善策を確認する。

発動条件

以下のいずれかに該当する場合、ISMS責任者または監査責任者の判断により実施する。

重大インシデントや情報漏えい等が発生した場合
POL-009_インシデント管理規程参照
外部監査・顧客監査・取引先評価等で是正要求を受けた場合
組織改編・システム変更など、セキュリティリスクが増加した場合
内部監査や日常レビューで重大な不適合が確認された場合

対象範囲

発生事象に関連する部門・システム・手順に限定して監査を実施する。

記録

監査の理由・対象・結果を「監査報告書（RPT-002）」に明記し、定期監査と同様に3年間以上保管する（POL-002準拠）。

報告

監査責任者は結果をISMS責任者および関係部門長へ報告し、必要に応じてトップマネジメントへエスカレーションする。

5.3 フォローアップ監査（再監査）

目的

定期・臨時監査において指摘された不適合事項に対し、被監査部門が実施した是正処置の有効性と再発防止状況を確認する。

実施時期

是正処置完了報告後、原則として2週間以内にフォローアップを実施する。
監査員は、是正処置計画書（FRM-003）および証跡を確認し、再発防止が確認できた場合にクローズとする。

手順

是正処置の内容・実施日・証跡を確認する
同様の不適合が再発していないことをヒアリングまたは記録で確認
必要に応じて現場確認やシステム設定を再点検
問題が残る場合は「観察事項」として次回監査で再確認する

記録と報告

フォローアップ結果は「是正処置記録（FRM-003_是正処置計画書）」に追記し、クローズの承認を内部監査責任者が行う。
完了した監査記録は監査フォルダに保管し、次年度監査で再評価する。

5.4 備考（運用上の留意点）

定期監査はPDCAサイクルの Check段階 に位置づけられる。
臨時監査およびフォローアップ監査は Act段階（改善） の活動として扱う。
各監査の実施記録（計画書・チェックリスト・報告書・是正処置記録）は、POL-002_ISMS文書管理方針に基づき3年間以上保存する。
監査員は独立性・客観性を保ち、担当業務に直接関与しない範囲で監査を行う。
POL-003_情報セキュリティ組織・責任規程参照
監査結果は必ずマネジメントレビューに反映し、ISMSの継続的改善に活用する。

6. 監査計画立案手順

内部監査は、計画的かつ一貫した方法で実施しなければならない。
監査の実施に先立ち、内部監査責任者は監査計画書（RPT-001）を作成し、トップマネジメント（代表取締役またはISMS責任者）の承認を得る。

6.1 計画立案の目的

監査計画は、以下を明確にすることで監査の一貫性と再現性を確保することを目的とする。

監査の目的（ISMSの有効性・適合性・改善点の確認）
監査の範囲（対象部門・業務・プロセス）
監査基準（ISO/IEC 27001, 社内規程, 契約要求事項等）
監査の方法（ヒアリング・文書確認・現場観察等）
監査員とその役割分担
監査スケジュールおよび実施手順
報告およびフォローアップの流れ

6.2 計画立案の手順

手順	内容	担当者	成果物
①	監査対象と範囲を決定する	内部監査責任者	対象部門一覧
②	監査目的・基準を明確にする	内部監査責任者	監査基準リスト
③	監査員を選任し、役割を割り当てる	内部監査責任者	監査員指名リスト
④	監査日程を調整し、監査対象部門と共有する	監査責任者／監査員	監査日程表
⑤	チェックリスト（FRM-002）を作成または更新する	監査員	監査チェックリスト
⑥	監査計画書（RPT-001）を作成し、承認を得る	監査責任者	監査計画書（RPT-001）
⑦	計画を被監査部門へ配布し、事前説明を行う	監査員	通知記録（メール・Slack等）

6.3 監査計画書（RPT-001）の記載項目

監査計画書には、少なくとも以下の内容を含めること。

区分	記載内容
概要	年度・監査目的・監査区分（定期／臨時／フォローアップ）
監査対象	部門名・対象業務・対象規程（POL, MNL, FRM等）
監査範囲	ISMS適用範囲のうち、今回対象とする範囲を明記
監査基準	ISO/IEC 27001:2022 要求事項（9.2内部監査）社内ISMS規程群関連法令・契約要求事項
監査員	氏名・役割（主監査員／補助監査員）
スケジュール	計画日・監査実施日・報告書提出日
監査方法	ヒアリング、文書確認、現場観察、システム検証等
結果報告	監査報告書（RPT-002）提出先および期限

6.4 監査範囲の決定例

監査範囲は、リスクの高い業務や変更の多い部門を優先的に含める。
例として、以下のような選定基準を設ける。

区分	主な監査対象例	対応するPOL文書
技術・運用	SaaS管理、アクセス権限、ログ監査	POL-006 POL-011
組織・人事	教育訓練、人的セキュリティ、雇用終了手続き	POL-010
物理セキュリティ	オフィス入退室管理、クリアデスク	POL-007
委託・外部関係	業務受託・サプライヤー管理	POL-008 POL-014
事業継続	災害時対応、安否確認訓練	POL-013 MNL-004
インシデント対応	報告・再発防止・是正手順	POL-009 MNL-002

6.5 監査員の選定と独立性の確保

監査員は、監査対象の業務に直接関与していない者から選任する。
必要に応じて、他部門の職員またはISMS担当者が兼任できるが、監査対象業務の実施責任者が監査員となることは禁止。
内部監査責任者は監査員の独立性を確保し、利益相反を防止する。

6.6 事前準備（監査員のチェックリスト）

監査実施前に、以下の準備を完了しておく。

監査計画書（RPT-001）を承認済にする
監査対象部門に日程・目的を通知済にする
チェックリスト（FRM-002）を最新版に更新する
関連文書（POL/MNL/FRM）の最新版を入手する
前回監査の不適合・観察事項を確認する
証跡確認の方法（ログ、記録、ヒアリング先）を整理する

6.7 監査計画書のフォーマット例

項目	内容例
文書番号	RPT-001_2025-AnnualAudit
監査目的	ISMSの有効性と社内規程遵守の確認
監査範囲	開発部門・総務部門・SaaS管理プロセス
監査基準	ISO/IEC 27001:2022, 社内規定各種
監査員	主監査員 ◯◯◯ 補助監査員 ◯◯◯
監査予定日	20◯◯/◯◯/◯◯ ~ ◯◯/◯◯
報告書提出期限	20◯◯/◯◯/◯◯
承認者
承認日	20◯◯/◯◯/◯◯

6.8 計画変更時の対応

監査計画に変更が生じた場合（対象・日程・監査員の変更など）は、監査責任者が速やかに修正版を作成し、再承認を得ること。

変更履歴は監査計画書末尾に記録し、旧版を削除せずアーカイブする（POL-002準拠）。

6.9 記録の保存

作成した監査計画書および関連資料は、監査記録として3年間以上保存する。
保存先は以下の通りとする。

/社外秘_ISMS/内部監査/
├─ 2025年度/
│ ├─ 計画/RPT-AAA_監査計画書.pdf
└─ 2024年度/（前回監査記録）

7. 監査実施手順

内部監査は、計画に基づき、客観的かつ独立した立場で実施する。
監査員は、ヒアリング・文書確認・現場観察などを通じて、
ISMSの運用状況と社内規程の遵守状況を確認する。

7.1 実施目的

ISMSが適切に実施・維持されているかを検証する
不適合および改善の機会を明確にし、継続的改善につなげる
内部監査を通じて、従業員のセキュリティ意識と運用成熟度を高める

7.2 実施の基本原則

客観性・独立性の確保
監査員は、自らの業務に関与しない範囲を監査する。
利害関係のあるプロセスの監査は行わない。
事実に基づく証拠の確認
発言だけでなく、記録・ログ・文書・画面キャプチャ等の証跡を確認する。
適切なコミュニケーション
被監査部門に対して丁寧に説明し、誤解や防衛的な対応を避ける。
指摘事項は建設的な表現で伝える。
記録の完全性の維持
全ての監査メモ・証跡・チェックリストを保存し、改ざんを防止する。

7.3 監査の流れ（全体プロセス）

フェーズ	主な活動	成果物
① 開始前ブリーフィング	監査目的・範囲・進め方を説明	開始確認メモ
② 監査実施（ヒアリング・証跡確認）	文書・システム・ログ・画面を確認	監査メモ
③ 不適合事項・観察事項の整理	指摘内容を分類・確認	指摘事項リスト
④ 終了ミーティング	結果の概要を被監査部門に共有
⑤ 監査報告書作成	結果を文書化し承認を得る	監査報告書
⑥ 是正処置・フォローアップ	不適合に対する対応策の追跡	是正処置計画書

7.4 開始前ブリーフィング

被監査部門へ監査の目的・範囲・方法を簡潔に説明する。
質問や懸念点を確認し、双方が監査の進め方を共有する。
開始時に「本監査はISMSの有効性確認のためのものであり、業務評価ではない」旨を明示する。
被監査側の出席者・記録担当者を確認する。

7.5 監査の実施方法

監査は以下3つのアプローチを組み合わせて行う。

(1) 文書確認（Desk Audit）

対象：ISMS関連文書、マニュアル、台帳、ログ、契約書等
例：
文書管理ルール（POL-002）の改訂履歴
SaaS管理台帳（FRM-006）の更新状況
インシデント台帳（MNL-002連動）の登録内容

(2) ヒアリング（Interview Audit）

対象：被監査部門の責任者・担当者
代表質問例：
「この手順はどこに記載されていますか？」
「最終レビュー日はいつですか？」
「前回の指摘事項はどのように是正されましたか？」
ヒアリングはできるだけ記録を残し、回答内容を後で証跡と照合する。

(3) 現場確認（On-site Audit／System Review）

対象：物理的な執務環境・システム設定・操作手順等
例：
オフィス入退室ログの確認
GitHubリポジトリのアクセス権設定
VPN接続ログ／アクセス権棚卸結果の確認

7.6 指摘事項の分類基準

監査中に確認された事実は、以下3段階（区分）に分類する。

区分	定義	例
適合	要求事項が満たされ、運用も効果的	資産台帳が最新で証跡がある
観察事項	軽微な改善余地がある	文書の改訂日が旧版のまま
不適合	要求事項を満たしていない	ログの保存期間が規程未達（3年未満）

不適合を指摘する場合は、根拠（確認した文書名・画面・発言）を明確に記録すること。

7.7 終了ミーティング（クロージング）

監査結果の概要を被監査部門へ説明し、認識の相違がないか確認する。
不適合事項がある場合は、その場で是正の方向性を共有する。
被監査部門の意見・反論・補足は、監査報告書に記録として残す。
終了後、監査員はチェックリストを整理し、報告書作成に備える。

7.8 証跡の管理と保存

証跡（ログ、ファイル、スクリーンショット等）は、監査報告書に添付または専用フォルダに保存する。
個人情報・機密情報を含む証跡は、アクセス制御を設定した上で保存する。

7.9 記録の作成

監査中のメモやチェックリストの内容をもとに、以下の記録を整備する。

監査チェックリスト
各項目の判定結果と証跡を記録
不適合・観察事項を整理
監査メモ
監査員の所感・補足事項
関連証跡フォルダ
添付資料・スクリーンショット

7.10 品質の確保（監査員レビュー）

監査終了後、主監査員は以下を確認する。

チェックリスト全項目が記録されている
判定基準に一貫性がある
証跡が保存され、根拠が明確
被監査部門への説明内容と報告書の記載に齟齬がない

7.11 不適合事項の取扱い

不適合を発見した場合は、監査報告書に詳細を記載する。
被監査部門は、是正処置計画書を作成し、監査責任者へ提出する。
監査責任者は、フォローアップ監査（第5章5.3）を通じて対応完了を確認する。

7.12 フィードバックと改善

監査終了後、監査員同士でレビュー会議を行い、監査手法・チェックリスト・質問内容の改善点を共有する。
次年度の監査計画作成時に、改善結果を反映させる。
監査活動自体の改善は、マネジメントレビューに報告する。

8. 監査報告書作成と是正処置

監査終了後、監査員は速やかに結果を文書化し、必要に応じて被監査部門に是正を求める。
本章では、「監査報告書」の作成から「是正処置のフォローアップ」までの手順を定める。

8.1 監査報告書の目的

監査報告書は、内部監査の結果を正式に記録し、トップマネジメントおよび被監査部門へフィードバックするための文書である。
報告書には、監査の目的・範囲・結果・指摘事項・結論を明確に記載する。

8.2 作成・承認・配布の流れ

手順	内容	担当	成果物
①	チェックリスト（FRM-002）を集約し、報告書ドラフトを作成	監査員	監査報告書(ドラフト)
②	主監査員が内容をレビューし、整合性を確認	主監査員	監査報告書(修正版)
③	内部監査責任者が承認	内部監査責任者	承認済報告書
④	被監査部門へ報告・配布	主監査員	通知記録（メール・Slack等）
⑤	トップマネジメントへ提出（マネジメントレビュー用）	主監査員	通知記録（メール・Slack等）

8.3 監査報告書の記載項目

区分	記載内容
概要	監査実施日、監査員、監査目的、監査対象・範囲
監査基準	ISO/IEC 27001:2022 9.2、社内ISMS規程
実施方法	文書確認、ヒアリング、現場観察など
概要結果	適合／観察事項／不適合の件数および傾向
指摘事項一覧	各項目の内容、根拠、対象部門、是正期限
結論・評価	ISMSの有効性・改善点・総評

8.4 指摘事項の表記例

No	指摘区分	内容	根拠	対象部門	是正期限
1	不適合	SaaS管理台帳が半年以上更新されていない	POL-006, A.8.16	管理部	2025/10/31
2	観察事項	文書改訂日の更新手順に軽微なばらつきあり	POL-002	全社	次回監査時まで
3	適合	インシデント報告手順が迅速に運用されている	POL-009, MNL-002	セキュリティチーム

不適合は「是正処置計画書」を必須とする。
観察事項は「改善提案」として次回監査でフォローする。
適合事項でも、特に優れた事例は「良好事例」として共有する。

8.5 報告書提出後の対応

被監査部門は、報告書受領後 5営業日以内に内容を確認する。
指摘事項に対して、是正処置が必要な場合は 是正処置計画書 を提出する。
軽微な観察事項のみの場合、文書修正・手順更新など簡易対応でも可。
不適合に関する対応が遅延する場合は、監査責任者がフォローアップを指示する。

8.6 是正処置計画書の運用手順

手順	内容	担当	成果物
①	指摘事項を一覧化し、原因・影響・対策を記入	被監査部門	是正処置計画書(ドラフト)
②	内部監査責任者へ提出・承認を得る	被監査部門長	是正処置計画書(承認済)
③	実施完了後、証跡を添付し「完了報告」を行う	被監査部門	証跡ファイル
④	主監査員が内容を確認し、フォローアップ監査を実施	主監査員	フォローアップ記録
⑤	完了確認後、内部監査責任者が「クローズ」処理を行う	内部監査責任者

8.7 是正処置計画書記入例

項目	記載例
指摘番号	#2025-01
指摘内容	SaaS管理台帳が更新されていない（半年間未レビュー）
原因分析	管理者異動時の引継ぎ漏れ／定期タスク未設定
是正方針	管理者タスクスケジュールを自動通知化し、次回レビュー日を記録
対応担当者	◯◯　◯◯
実施期限	2025/10/31
完了日	2025/10/28
証跡	(キャプチャ等)
承認者	内部監査責任者　◯◯　◯◯
クローズ日	2025/11/05

8.8 フォローアップ監査とクローズ基準

フォローアップ監査は、第5章「監査の種類（5.3 フォローアップ監査）」に従って行う。
是正処置の効果が確認された場合に限り、監査責任者は「クローズ」と判断する。
クローズ基準：

対応策が計画通り実施されている
再発防止が確認されている
関連文書・台帳が更新済みである
証跡（スクリーンショット・報告書・ログ等）が保管されている

※ クローズ前に証跡が未提出の場合、監査員は暫定クローズを行わない。
※ 不十分な対応は次年度監査の対象とする。

8.9 マネジメントレビューへの報告

内部監査責任者は、全監査報告書および是正処置状況をまとめ、
年1回のマネジメントレビューで報告する。
報告内容には、以下を含めること
- 監査実施件数と対象範囲
- 不適合および観察事項の傾向分析
- 是正処置の進捗と再発防止策
- 改善提案および良好事例の共有

8.10 記録の保存

全ての監査関連記録（RPT-001〜RPT-002、FRM-002〜FRM-003、証跡）は、3年間以上保存する。

/社外秘_ISMS/内部監査/
├─ 2025年度/
│ ├─ 報告書/RPT-AAA_監査報告書.pdf
└─ 2024年度/（前回監査記録）

8.11 改善のためのフィードバック

監査員は、是正処置の結果や指摘傾向を分析し、次回監査計画およびチェックリストの改善に反映させる。
改善の提案は「監査改善提案書（任意様式）」またはSlackチャンネルで共有してもよい。

改訂履歴

改定日	版	改定内容	承認
2025-10-03	-	初版制定	-
2026-06-10	1.0	GitHubリポジトリ（airs/isms）へ移行（POL文書・MNL-002／MNL-004・SaaS管理台帳（FRM-006）・RPT-002への参照を本リポジトリへの相対リンクに置換、3章にあった改訂履歴を文書末尾へ移動し3章は欠番。本文の文書番号の矛盾は原文のまま＝冒頭TODO参照）	-