ISO27001取得の税理士法人を選ぶメリット｜4つの機能と確認軸

税理士法人は、顧客の決算書や申告データ、給与情報など、非常に機密性の高い情報を日常的に預かる。その管理体制は本来極めて重要だが、外部からは見えにくい。ここで一つの客観的な手がかりになるのが、情報セキュリティマネジメントの国際規格であるISO27001の取得状況だ。

ただし、認証を取得していること自体が安心を保証するわけではなく、その中身を読み解く視点が要る。

本記事では、税理士法人がISO27001を取得していることが、どのような局面で機能するのかを4つに整理したうえで、認証を評価する際に確認すべき軸も示す。情報の取り扱いを重視して事務所を選びたい経営者の判断材料としてほしい。

結論：税理士法人のISO27001取得は情報管理の証跡として4局面で機能する

税理士法人がISO27001を取得していることは、「情報セキュリティの運用が、第三者の審査によって継続的に確認されている」ことの証跡である。その意義は、漠然とした安心感ではなく、次の4つの局面に分けて捉えると理解しやすい。1つ目は顧客の財務・税務データの漏洩リスクの低減、2つ目は業務プロセスの可視化と継続的な改善、3つ目は大企業・上場企業との取引における適合性、4つ目は税務調査の際の資料提供の正確性と痕跡の管理だ。

ただし、認証を取得しているという事実だけで判断するのは早計で、認証の中身を見極める視点が要る。具体的には、いつ取得し、どれだけの期間継続しているか、認証の範囲は全社なのか一部の部門なのか、品質マネジメントのISO9001など他の認証とあわせて運用しているか――といった点を確認することで、運用の成熟度を読み取れる。以下、ISO27001の概要から、4つのメリット、そして3つの確認軸までを順に解説する。

ISO27001とは？　税理士法人にとっての意味

まず、ISO27001がどのような規格で、税理士法人にとって何を意味するのかを整理する。仕組みの全体像を押さえると、後述するメリットや確認軸の意味が掴みやすくなる。

ISO27001の概要（情報セキュリティマネジメントシステム）
ISO27001は、情報セキュリティマネジメントシステム（ISMS）に関する国際規格である。情報を守るうえでの3つの柱として、許可された人だけが情報にアクセスできる「機密性」、情報が正確で改ざんされていない「完全性」、必要なときに情報を使える「可用性」を掲げ、これらを組織として管理する仕組みを求める。

特徴的なのは、一度ルールを定めて終わりではなく、計画・実行・点検・改善のPDCAサイクルを回し続けることを前提としている点だ。認証を維持するには、定期的なサーベイランス審査（維持審査）を受け、運用が続いていることを第三者に確認してもらう必要がある。

参考：一般財団法人日本品質保証機構「ISO/IEC 27001（情報セキュリティ）」

税理士法人での適用範囲（顧客情報・税務データ・電子帳簿）
税理士法人がISO27001を取得する場合、保護の対象となる情報資産は幅広い。顧客の財務情報や税務申告のデータ、給与や人事に関する情報、電子帳簿保存に対応した会計システムなどが含まれうる。

これらをどの範囲まで認証の対象とするかは、事務所によって異なる。組織全体を対象とする場合もあれば、特定の拠点や部門に限る場合もある。認証の範囲がどこまで及んでいるかによって、実際に守られている情報の広さは変わる。そのため、取得の有無だけでなく、何を対象とした認証なのかを確認することに意味がある。

ISO9001（品質マネジメント）との違いと併用の意味
ISO27001としばしば並べて語られる、品質マネジメントの国際規格であるISO9001だが、両者は対象が異なる。ISO9001は業務の品質を一定に保つ仕組みを対象とするのに対し、ISO27001は情報セキュリティを対象とする。したがって、片方を取得していても、もう片方の領域がカバーされるわけではない。

両方を取得・運用している事務所は、業務品質と情報セキュリティの双方に管理の仕組みを行き渡らせ、その維持に必要な投資を続けていると評価できる。複数の認証を長期にわたり併用していることは、管理体制全般への姿勢を読み取る手がかりになる。

ISO27001取得の税理士法人を選ぶ4つのメリット

ここからは、税理士法人がISO27001を取得していることが、依頼者にとってどのようなメリットにつながるのかを、4つの局面に分けて整理する。

メリット1 顧客の財務・税務データの漏洩リスク低減
1つ目は、情報漏洩のリスクを下げられることである。ISO27001の運用では、誰がどの情報にアクセスできるかを定めるアクセス権限の管理、パスワードの運用ルール、端末の持ち出し制限、書類の保管といった物理的なセキュリティなど、漏洩に直結する管理項目が認証の要件として継続的に運用される。「最大限注意します」という口頭の約束ではなく、ルールとして定められ、第三者に確認される点が重要だ。

あわせて、サイバー攻撃やデータの紛失に備えたバックアップの体制など、万一に備えるリスク対応力も、運用のなかで求められる。機密情報を預ける側にとって、こうした体制が仕組みとして整っていることは、安心の土台になる。

メリット2 業務プロセスの可視化と継続改善
2つ目は、業務のプロセスが可視化され、改善が続けられることである。ISO27001では、自分たちのルールが守られているかを定期的に点検する内部監査、経営層がその結果を確認するマネジメントレビュー、問題が見つかった場合の是正処置といった仕組みが求められる。これらが機能すると、業務の手順が文書化されて見えるようになり、属人的な運用に頼りきりにならずに済む。

一度作った仕組みを点検し、足りない点を直し続ける流れができていることは、情報管理に限らず、事務所の業務運営全体の安定にもつながる。

メリット3 大企業・上場企業との取引適合性
3つ目は、大企業や上場企業との取引で求められる水準に適合しやすいことである。上場企業や大企業では、取引先を選ぶ際に、その情報管理体制を確認することがある。内部統制報告制度（J-SOX）の文脈で、業務を委託する相手のセキュリティ体制が問われる場面もある。

税理士法人がISO27001を取得していれば、こうした確認に対して、第三者認証という客観的な裏づけを示しやすい。自社が上場を準備している場合や、上場企業と取引する立場にある場合、委託先である税理士法人の認証取得が、取引のハードルを下げる要素になりうる。

メリット4 税務調査時の資料提供の正確性と痕跡管理
4つ目は、税務調査の際に、資料の正確性と取り扱いの記録を担保できることである。税務調査では、帳簿や契約書、電子データなど、多くの資料を正確に提示することが求められる。ISO27001の運用では、情報の保管や受け渡しの記録が管理されるため、どの資料をいつ扱ったかという痕跡をたどりやすい。調査が終わった後も、機密保持体制が継続して機能される。

提供する資料の正確性と、その取り扱いの記録が整っていることは、調査を落ち着いて進めるうえでも、調査後に情報が適切に管理され続けるうえでも、安心材料になる。なお、税務調査の現場では資料のやり取りにオンラインツールを用いる動きが広がり、国税側のシステム整備も今後さらに進むと見込まれる。調査対応のデジタル化が進むほど、提供した資料の正確性と取り扱いの記録を残せる体制の価値は、いっそう高まっていく。

ISO27001取得の税理士法人を選ぶ際の3つの確認軸

前章のメリットは、認証を取得していれば自動的に得られるものではない。認証の中身を見極めるための3つの確認軸を整理する。なお、情報管理体制に限らず、所属税理士の顔写真や報酬体系を公開しているかといった、事務所全体の透明性も信頼できる相手かを見極めるうえで参考になる。認証の確認と並行して、こうした観点も押さえておきたい。

確認軸1 取得年と継続年数（運用成熟度の指標）
1つ目の軸は、いつ取得し、どれだけの期間継続しているかである。ISO27001は、取得してからもサーベイランス審査を受け続けて初めて維持される認証だ。取得直後の事務所と、10年以上にわたり継続している事務所とでは、運用の定着度に差が出やすい。長く継続しているということは、それだけPDCAサイクルを回し、審査を通過し続けてきたことを意味する。

取得年と継続年数は、運用がどれだけ組織に根づいているかを読み取る目安になる。公式サイトなどで、取得時期が示されているかを確認するとよい。

確認軸2 認証範囲（全社／一部部門）
2つ目の軸は、認証の範囲がどこまで及んでいるかである。前述のとおり、ISO27001の認証は、組織全体を対象とする場合もあれば、特定の拠点や部門に限る場合もある。範囲が一部にとどまる場合、自社の情報を扱う部門が認証の対象に含まれているとは限らない。公式サイトや認証機関の情報で、認証範囲が明示されているかを確認したい。

範囲が全社に及んでいるか、少なくとも自社が依頼する業務を担う部門が対象になっているかは、実務上のカバレッジを左右する重要な点だ。

確認軸3 ISO9001等の関連認証との組み合わせ
3つ目の軸は、ISO9001など他の認証とあわせて取得・運用しているかである。情報セキュリティのISO27001に加えて、品質マネジメントのISO9001を併用している事務所は、業務品質と情報管理を一体で運用している可能性が高い。

複数の認証を維持するには、それぞれに審査と運用のコストがかかるため、併用は管理体制全般への投資姿勢の表れとも読める。どの認証を、いつから、どの範囲で取得しているかを組み合わせて見ることで、事務所の管理体制をより立体的に評価できる。

ISO27001を取得している税理士法人の例

ここでは、前章の確認軸に沿って、ISO27001の取得を公表している税理士法人の事例を紹介する。順位付けではなく、認証の取得状況を同じ観点で確認できるよう整理した。まず比較表で概要を示し、その後に各事例を順に紹介する。各社の情報は執筆時点の公式サイトや認証機関の公開情報に基づくため、最新の状況は各社サイト等で確認してほしい。

AKJパートナーズ・日税グループ等の取得事例
税理士業界でも、情報セキュリティの国際規格であるISO27001の取得を公表する事務所は見られる。たとえばAKJパートナーズは、税理士法人・公認会計士共同事務所・社会保険労務士法人・メディカルサービスのグループ4法人を対象に、ISO27001の認証を2012年9月に初回取得し、2024年9月に更新している。また日税グループについては、認証機関が公開するISMS（ISO27001）の取り組み事例として紹介されている。

いずれも、認証の取得や運用の状況が、公式情報や認証機関の事例という形で外部から確認できる例だ。こうした事例を見る際は、取得を公表しているかどうかだけでなく、認証の範囲や取得時期といった中身まで、一次情報をたどって確認することが望ましい。

参考：AKJパートナーズ（ISO27001認証更新のお知らせ）

参考：日本能率協会（JMAQA）（ISMS認証取得事例_日税グループ）

小谷野税理士法人
東京を拠点とする中堅規模の総合系税理士法人で、情報セキュリティと品質の両規格を長期にわたり継続している事務所の一例だ。情報セキュリティのISO27001を2011年に取得し（約15年継続）、加えて品質マネジメントのISO9001を2001年に取得している（約25年継続）。一方の認証だけでなく、性格の異なる2つの規格を長く併用している点は、本記事で挙げた確認軸――取得年と継続年数、関連認証との組み合わせ――に照らして読み取りやすい。

公認会計士・税理士等30名を含む総員約80名が所属し、このうち国税OBの在籍は2名、外部顧問1名と公表されている。顧客の財務・税務情報をはじめ機密性の高い情報を日常的に扱う体制のなかで、情報管理の仕組みを口頭の説明ではなく第三者認証の継続という形で示している点が特徴だ。公式サイトには、ISOへの取り組みを紹介するページも公開されている。

参考：小谷野税理士法人（サービス紹介・公式サイト・ISOへの取り組み）

FAQ：ISO27001取得の税理士法人選びでよくある質問

ISO27001の取得を切り口に税理士法人を検討する際に、挙がりやすい3つの疑問について要点を整理する。

ISO27001を取得していない税理士法人は、情報管理が甘いのですか？
取得していないことが直ちに管理の甘さを意味するわけではない。ISO27001を取得していなくても、独自の規程や運用で情報を適切に管理している事務所はある。認証は、情報管理体制を客観的に比較するための一つの材料であって、取得していないことが直ちに管理の甘さを意味するわけではない。

一方で、第三者の審査を継続的に受けているかどうかは、外部から確認できる客観的な指標になる。認証の有無を出発点としつつ、未取得の事務所については、どのような規程や体制で情報を守っているのかを具体的に確認するとよい。

ISO27001とプライバシーマーク（Pマーク）の違いは何ですか？
ISO27001とプライバシーマーク（Pマーク）は、対象とする情報の範囲が異なる。プライバシーマークは、個人情報の適切な取り扱いに焦点を当てた認証で、対象は個人情報が中心だ。一方、ISO27001は、個人情報に限らず、財務情報や営業情報を含む情報資産全般を対象とする。

認証を与える主体や、対象とする範囲の考え方にも違いがある。税理士法人は、個人の確定申告に関する情報も、法人の財務・税務情報も扱うため、情報資産全般を対象とするISO27001が、業務の実態と結びつきやすい面がある。どちらの認証を取得しているか、あるいは両方かによって、カバーされる情報の範囲が変わる点を押さえておきたい。

ISO27001取得の税理士法人は、顧問料が高い傾向にありますか？
顧問料に関しては、一律にそうとはいえない。認証の取得と維持には運用のコストがかかるが、それが顧問料に直接反映されるとは限らない。顧問料は、依頼する業務の範囲や企業の規模、訪問頻度など複数の要素で決まるものであり、認証の有無だけで高低が決まるわけではない。

情報管理体制を重視するのであれば、顧問料の比較とは切り離して、認証の取得状況や範囲を確認するのが現実的だ。料金とセキュリティ体制は、それぞれ別の軸として、同じ条件で複数の事務所を見比べるとよい。

まとめ：税理士法人のISO27001取得は4局面で機能し、3軸で評価する

税理士法人のISO27001取得は、情報セキュリティの運用が第三者の審査によって継続的に確認されていることの証跡であり、漏洩リスクの低減、業務プロセスの可視化、大企業・上場企業との取引適合性、税務調査時の資料管理という4つの局面で機能する。顧客の機密情報を預ける相手を選ぶうえで、客観的な判断材料になる観点だ。

ただし、認証は取得していれば足りるものではない。取得年と継続年数、認証の範囲、ISO9001など関連認証との組み合わせという3つの軸で中身を確認することで、運用の成熟度を読み取れる。あわせて、所属税理士の情報や報酬体系の公開といった事務所全体の透明性も、判断の材料になる。情報の取り扱いを重視して税理士法人を選びたい場合は、これらの観点を手元に置きつつ、中小企業向けの無料相談などを活用し、認証の取得状況や範囲を具体的に確認することをおすすめする。

※本稿はPR記事です。