9.2 内部監査

項目	内容
改訂日	2026.03.04
適用範囲	全社
箇条番号	9.2
分類	パフォーマンス評価

要求事項

9.2.1 一般

組織は、ISMSが次の状況にあるか否かに関する情報を提供するために、あらかじめ定めた間隔で内部監査を実施しなければならない。

a) 次の事項に適合している。
- 1. ISMSに関して、組織自体が規定した要求事項
- 1. この規格の要求事項
b) 有効に実施され、維持されている。

9.2.2 内部監査プログラム

組織は、監査プログラムを計画し、確立し、実施し、維持しなければならない。これには、その頻度、方法、責任、計画策定の要求事項及び報告を含める。

それ（ら）の内部監査プログラムを確立するとき、組織は、関連するプロセスの重要性及び前回までの監査の結果を考慮しなければならない。

組織は、次に示す事項を行わなければならない。

a) 各監査について、監査基準及び監査範囲を明確にする。
b) 監査プロセスの客観性及び公平性を確保するために、監査員を選定し、監査を実施する。
c) 監査の結果を関連する管理層に報告することを確実にする。

組織は、監査プログラムの実施及び監査結果の証拠として、文書化した情報を利用可能な状態にしなければならない。

目的

ISMSが規格要求事項及び組織自体が規定した要求事項に適合し、有効に機能しているかを独立した立場から評価し、改善の機会を特定するため。

当社における実施状況

当社の内部監査は、マネジメントレビューと同日に実施し、内部監査＋マネジメントレビュー議事録（Google Docs）として1本の文書にまとめている。

内部監査に関する組織体制及び基本的な実施方針は、1. 組織的対策の「2. 情報セキュリティ取組みの監査・点検」に定めている。

本項では、内部監査の概要を示す。

内部監査の概要

項目	内容
実施頻度	年1回（8月）
監査責任者	監査・点検責任者（管理部責任者または代表取締役）
監査範囲	ISMSの適用範囲全体（語学教育事業部）
監査基準	JIS Q 27001:2023要求事項、当社情報セキュリティ関連規程

独立性の確保

当社は少人数体制であるため、内部監査の独立性確保について以下のとおり対応している。

内部監査部分については、運用当事者以外の者が担当する
監査・点検責任者は、自身が直接運用に関与していない領域を監査する
必要に応じて、外部の専門家の支援を受けることを検討する

監査プログラム

内部監査プログラムは以下の要素を含む。

要素	内容
頻度	年1回（8月、マネジメントレビューと同日実施）
方法	文書レビュー、記録確認、関係者へのヒアリング
責任	監査・点検責任者
計画策定	監査実施前に監査計画を策定
報告	監査結果を情報セキュリティ責任者に報告

監査の実施

各監査において、以下を明確にする。

監査基準：

JIS Q 27001:2023の要求事項（箇条4〜10）
当社情報セキュリティ関連規程
適用宣言書に記載された管理策

監査範囲：

ISMSの適用範囲（語学教育事業部）
情報セキュリティ関連規程の実施状況
管理策の運用状況

監査結果の報告

監査結果は、内部監査報告書として取りまとめ、情報セキュリティ責任者に報告する。報告内容には以下を含む。

監査の概要（日時、監査員、監査範囲）
適合状況の評価
指摘事項（不適合、観察事項、改善の機会）
是正処置の要否と推奨事項

文書化した情報

文書・記録	内容	保管場所
内部監査計画	監査の計画（範囲、基準、スケジュール）	ISMS文書管理システム
内部監査報告書	監査結果、指摘事項	ISMS文書管理システム
内部監査チェックリスト	監査項目と確認結果	ISMS文書管理システム