「ISO27001は何の役に立つのか」に向き合った小谷野税理士法人が示す、4つの機能と3つの確認軸

写真拡大

小谷野税理士法人


140526
小谷野税理士法人は、東京を拠点に中小企業の税務・会計を支援する、中堅の総合系税理士法人です。公認会計士・税理士など30名を含むおよそ80名の体制で、情報セキュリティのISO27001を2011年に取得し、継続して運用しています。

私たち中小企業支援チームには、「ISO27001取得とよく見るが、税理士法人選びでそれが何の役に立つのか分からない」という声が寄せられます。本ストーリーでは、その疑問に向き合うなかで、担当者が整理した、ISO27001取得が機能する4つの局面と、見極める3つの確認軸を紹介します。

「セキュリティ体制の証跡を出してほしい」と言われて

「取引先から、情報管理体制の証跡を求められたんです」――上場準備を進めるある経営者は、急にそう切り出した。自社だけでなく、業務を委託している税理士法人の情報管理まで問われる場面が出てきたのだという。税理士は、顧客の決算書や申告データ、給与情報など、極めて機密性の高い情報を日常的に預かる。

その管理体制は本来きわめて重要だが、外部からは見えにくい。きちんと運用されているのか、それとも掛け声だけなのか、契約前に判断するのは難しい。ここで一つの客観的な手がかりになるのが、情報セキュリティマネジメントの国際規格であるISO27001の取得状況だ。

とはいえ、『ISO27001取得』と書かれていても、それが自社にとって何を意味するのかは伝わりにくい。私たちは、この規格が税理士法人選びでどう機能するのかを、具体的な局面に分けて示す必要があると感じてきた。

情報漏洩は、起きてしまえば顧問先の信用に直結する。税理士法人にとっての情報管理は、自社のリスクであると同時に、預けている企業のリスクでもある。にもかかわらず、その体制は契約前にはほとんど見えない。だからこそ、外部の基準で確かめられる手がかりに、私たちは意味があると考えている。

見えにくい情報管理を、外部基準で確かめる

ISO27001は、税理士法人選びでどう効くのか。私たちは、自社で2011年に取得し運用してきた経験を踏まえ、その意味を整理していった。

ISO27001は、情報セキュリティマネジメントシステム(ISMS)の国際規格で、情報の取り扱いの仕組みが、外部監査を通じて運用されていることを示す。税理士法人にあてはめれば、顧客情報、税務データ、電子帳簿といった機密情報を、組織として管理する体制が整っているかどうかの証跡になる。

よく混同されるのがISO9001だが、目的は異なる。ISO9001はサービス提供の品質管理の体制、ISO27001は情報の取り扱いの体制を示すものだ。情報セキュリティの文脈ではISO27001、サービス品質の文脈ではISO9001、というように分けて見るのが正確で、両方を取得していれば、品質と情報管理の双方が外部基準で確認されていることになる。

そのうえで私たちは、ISO27001取得が具体的に機能する局面を4つに整理し、あわせて、取得の見せ方を見極める確認軸も用意することにした。『取得しているかどうか』だけでなく、『どう運用されているか』まで見てもらいたかったからだ。

ここで一点、注意も添えておきたい。『ISO27001を取得していない税理士法人は情報管理が甘い』とは、一概には言えない。認証はあくまで一つの客観的な手がかりであって、取得していなくても堅実に運用している事務所はある。逆に、取得していても運用が形骸化していれば意味は薄い。だからこそ、有無だけでなく運用の中身を見ることが大切になる。

ISO27001が機能する4つの局面と、3つの確認軸

整理の結果まとまったのが、ISO27001取得が機能する次の4つの局面である。

機能①は顧客の財務・税務データの漏洩リスク低減。情報の取り扱いルールが定められ、運用されていることで、漏洩や紛失のリスクを下げられる。

機能②は業務プロセスの可視化と継続改善。情報の流れが文書化され、定期的な見直しが組み込まれるため、属人的な運用に陥りにくい。

機能③は大企業・上場企業との取引適合性。取引先が委託先の情報管理体制を問う場面で、認証は分かりやすい証跡になる。上場準備や大手との取引では、この適合性が実務的な意味を持つ。

機能④は税務調査時の資料提供の正確性と痕跡管理。情報の保管と取り扱いが整理されていれば、調査で資料を求められた際にも、正確に、追跡可能な形で提示しやすい。


あわせて、取得の見せ方を見極める3つの確認軸も示したい。

確認軸①は取得年と継続年数。取得して間もないのか、長く運用してきたのかで、体制の成熟度の目安が変わる。

確認軸②は認証範囲。全社で取得しているのか、一部の部門にとどまるのか。範囲によって、実際に自社の情報がカバーされるかが変わる。

確認軸③はISO9001など関連認証との組み合わせ。品質と情報管理の両面を担保しているかを見る視点だ。


私たち自身、2011年の取得から運用を続けるなかで、認証は“取って終わり”ではないことを痛感してきた。毎年の内部監査や外部審査に向けて、運用のずれを点検し、ルールを更新し続ける。その地道な継続こそが、認証の実質を支える。だからこそ、取得年だけでなく継続年数まで見てほしいと、経営者に伝えている。

よく『ISO27001とプライバシーマークは何が違うのか』と聞かれる。プライバシーマークは主に個人情報の保護を対象とする国内の制度で、ISO27001は個人情報に限らず情報資産全般のマネジメントを対象とする国際規格だ。守る対象の範囲が異なるため、どちらを取得しているかで、カバーされる情報の幅も変わる。

『取得しているか』ではなく『どう運用しているか』 

4つの機能と3つの確認軸で語るようになってから、相談は『ISO27001って必要ですか』から『この法人は全社で取得し、長く運用しているか』という具体的な観察に変わっていった。規格は、持っているかどうかより、どう運用されているかでこそ意味を持つ。

税理士法人のISO27001取得は、漏洩リスクの低減、業務プロセスの可視化、大企業・上場企業との取引適合性、調査時の資料提供の正確性という4つの局面で機能する。ただし、取得の事実だけでなく、取得年と継続年数・認証範囲・関連認証との組み合わせという3つの軸で見極めることが大切だ。機密情報を預ける相手だからこそ、その管理体制を外部基準で確かめてほしい。私たちはこれからも、見えにくい情報管理を、確かめられる形で示し続けていきたい。

機密情報を預けるという行為は、相手への信頼が前提になる。その信頼を、印象や言葉だけでなく、外部の基準と継続的な運用で裏づけられるか。ISO27001は、その問いに答えるための、一つの確かな物差しだ。

東京で中小企業を支援する小谷野税理士法人の体制

ここからは、前章の5基準に沿って、東京エリアで中小企業を支援する当法人(小谷野税理士法人)の体制を紹介する。

小谷野税理士法人

中堅の総合系税理士法人。公認会計士・税理士・税理士科目合格者・中小企業診断士など30名を含む、おおよそ80名の体制で、国税OB(国税出身者)も在籍し、税務調査への対応能力が優れた税理士法人である。税理士業務に関して品質マネジメントのISO9001、情報セキュリティのISO27001を取得している、会計事務所である。事業承継・相続・M&A・DD(デューデリジェンス=買収などの際に対象企業を調査すること)・バリュエーション(企業価値評価)・組織再編をワンストップで扱い、2005年以降の業種別・規模別のコンサルティング実績の一部を公式サイトで開示している。補助金・助成金の支援にも取り組んでおり、その成功率はおおよそ80%としている。


参考:小谷野税理士法人(サービス紹介( https://koyano-cpa.gr.jp/nobiyo-kaikei/ )

・公式サイト( https://koyano-cpa.gr.jp/ )