ISOは一部の部署で取得できるか？

先日寄せられた質問メールです。ISO27001の取得をご検討中です。

「当社は、○○市に本社を置き、全国に支社・営業所が存在し、全てをネットワークで結んで共通のサーバを使用しています。
この場合、ISO27001の取得についての単位は、会社毎ですか？事業所単位や営業所単位でも可能ですか？」

結論から申しますと、全社でも、事業所・営業所単位でもISO27001の取得が可能です。
一方、同じ情報セキュリティ系の規格でも、プライバシーマークは全社・全部署でしか取得は認められません。

お客様から寄せられる質問で一番多いのが、この適用範囲（登録範囲）に関するものです。

実は、この適用範囲には３つの側面があります。

１．ISOを適用させる製品・サービス
２．ISOを適用させる場所・部署
３．適用除外の要求事項の有無

このうち、１．と２．については、自社で決めてよいことになっています。
（というよりも、自社が主体的に決めることです。）
３．については、原則、全ての要求事項をクリアーしなければいけません。

ただし、いくつか例外や注意点があります。

ISO9001では、３．に関係して、自社製品の性質上、適用不可能な要求事項については、その除外が一部認められてします。（除外とする正当な理由が必要です。）

ISO14001では、２．に関係して、物理的な単位で場所を限定する必要があります。
例えば、本社とは別の敷地にある支社や工場は、それ自体でISO14001の取得が可能です。
でも、本社建物内の特定部署のみの取得は認められません。物理的な区切りを設けることが困難だからです。

ISO22000では、１．２．のほかに適用するプロセス（業務、作業）も決める必要があります。

皆さん、一番気になさるのが２．です。
部署を限定したほうが、ISOの仕組みの構築・運用が楽ですし、費用も少なくて済みます。
でも、あまり限定してしまうと、何のために取得するのかわからなくなってしまいます。
自社のビジネスの性質や自社に寄せられる要望・期待、費用対効果を総合的に考えて決めましょう。