ISO 42001の取得費用をネットで調べると「数百万円」程度の数字が並びます。でも、この金額だけで予算を組むと足りなくなります。見積書に載らない社内の人件費が、外部への支払いと同じくらいかかるからです。
この記事では、外部コストも社内コストもすべて含めた「本当の総額」を、企業規模別に洗い出します。予算取りの材料として、そのまま使える数字をお見せします。
ISO 42001は何の認証か
ISO/IEC 42001は、ひと言でいうと「うちはAIをちゃんと管理していますよ」と外部の審査機関が認めてくれる国際認証です。
正式にはAIマネジメントシステム(AIMS)の規格と呼ばれます。入札要件や取引先の契約書で「AIMS認証」と書かれていたら、このISO 42001のことだと思ってください。
AI開発企業だけでなく、ChatGPTなどのAIツールを業務で使っている一般企業も取得対象になります。
認証にかかるお金は大きく3つ——審査機関に払う審査費用、準備を手伝ってもらうコンサル費用、そして社内でルールや体制を整備するための人件費。次のセクションから、この3つそれぞれの相場を具体的に見ていきます。
外部に払う費用の全体像
外部に出ていくお金の行き先は、意外とシンプルです。「審査機関」と「コンサル」の2か所だけ。
初年度の外部費用は、合計でざっくり250万〜800万円が相場になります。
「幅がありすぎない?」と思いますよね。この差は主に、会社の規模と、コンサルにどこまで頼むかで決まります。まずは全体の構造を押さえてから、それぞれの中身を見ていきましょう。
| 費目 | 相場レンジ | 何で金額が変わるか |
|---|---|---|
| 審査機関への支払い | 100万〜300万円 | 従業員数・AIシステムの複雑さ |
| コンサル費用 | 0〜500万円 | 支援の範囲(フル支援〜なし) |
| 初年度合計 | 250万〜800万円 | — |
審査機関への支払い
審査機関とは、「この会社はISO 42001の基準を満たしていますよ」と公式にお墨付きを出してくれる第三者機関のことです。日本ではJQA(日本品質保証機構)、海外系ではBSIやSGSといった名前が知られています。
審査費用の計算ロジックは意外とシンプルで、「審査員が何日来るか × 1日あたりの単価」でほぼ決まります。
審査員の日当は一般的に15万〜25万円程度。ポイントは「何日来るか」のほうで、これが従業員数とAIシステムの複雑さに連動します。
たとえば従業員50名でAIシステムが1〜2つなら審査員2〜3日、500名規模でAIを複数領域に展開していれば5日以上になることもあります。
この日数の差がそのまま、100万〜300万円という幅につながるわけです。
JQA(日本品質保証機構)の公式サイトでは具体的な金額は「お問い合わせください」となっています。これは会社ごとに審査日数が変わるためです。
裏を返せば、複数の審査機関に見積もりを取って比較できるということ。同じ会社でも審査機関によって数十万円の差が出ることがあるので、最低2〜3社には声をかけるのがおすすめです。
複数社に見積もりを取る際は、価格だけでなくIAF(国際認定フォーラム)への加盟とAI分野の審査実績も確認しておきましょう。
ここで見落としがちなのが、取得した後にもお金がかかるという点です。
ISO 42001の認証は「一度取ったらずっと有効」ではありません。毎年1回のサーベイランス審査(「ちゃんと運用し続けていますか?」を確認する維持審査)と、3年ごとの更新審査(最初の認証審査とほぼ同じボリュームのやり直し)がセットでついてきます。
| 審査の種類 | 頻度 | 費用目安 |
|---|---|---|
| 初回認証審査 | 取得時の1回 | 100万〜300万円 |
| サーベイランス審査 | 毎年(2年目・3年目) | 30万〜80万円/回 |
| 更新審査 | 3年ごと | 初回と同程度(100万〜300万円) |
![[図解] 「初年度:初回認証審査(100〜300万円)」→「2年目:サーベイランス審査(30〜80万円)」→「3年目:サーベイランス審査(30〜80万円)」→「4年目:更新審査(100〜300万円)」→以降ループ、という認証サイクルのフロー図](http://ai-mikata.com/wp-content/uploads/2026/04/autopress-9.jpeg)
サーベイランス審査は初回より日数が少ないぶん費用も抑えめですが、年間30万〜80万円は固定で出ていくコストです。
そして3年目の更新審査では、初回認証とほぼ同じ費用がかかります。この維持コストを最初の予算に入れ忘れると、2年目に「こんなはずじゃなかった」と慌てることになりかねません。
コンサル費用の選択肢
ISO 42001の取得準備を手伝ってくれるコンサルタント。その主な役割は、大きく3つです。
- ギャップ分析 — 今の社内体制とISO 42001が求める基準を突き合わせて、「何が足りないか」を洗い出す
- 規程・文書の作成支援 — AIの利用ポリシーやリスク管理の手順書など、審査で提出する書類を一緒に作る
- 内部監査の指導 — 審査本番の前に社内で「模擬審査」ができるようトレーニングする
費用は、どこまで頼むかで大きく変わります。
| タイプ | 費用目安 | 向いている会社 |
|---|---|---|
| フル支援型 | 150万〜500万円 | ISOの取得経験がない・担当者が兼務で手が回らない |
| スポット相談型 | 数十万円〜 | ISO運用経験があり自走できるが、要所でプロの判断が欲しい |
| コンサルなし | 0円 | ISO 9001や27001の取得・運用経験が社内にある |
フル支援型は、ギャップ分析から規程づくり、内部監査のサポート、審査当日の立ち会いまで一気通貫で面倒を見てくれるプランです。「何から手をつけていいかわからない」という会社には心強い選択肢ですが、そのぶん費用は150万〜500万円と幅があります。
一方、ISO 9001(品質マネジメント)やISO 27001(情報セキュリティ)の取得経験がある企業なら、マネジメントシステムの「型」をすでに知っています。規程の作り方、内部監査の回し方、審査当日の流れ——こうしたノウハウが社内にあるなら、コンサルなし、あるいはスポット相談だけで十分なケースも現実的です。
この「既存のISO経験があるかどうか」は、この記事の費用試算を通じて何度も出てくる最大の変数です。後のセクションでも繰り返し触れますが、ここだけ押さえておけば大丈夫です。
ただし、ISOの取得がまったく初めてという会社がコンサルなしで進めると、担当者が手探りで文書を作ることになり、取得まで1年以上かかることも珍しくありません。
「コンサル代を節約したつもりが、社内の人件費でそれ以上かかっていた」——これは実際によく聞く話です。
自社にISOの経験者がいるかどうか。これがコンサルの要否を判断するいちばんのポイントになります。
予算に載らない社内コスト
前のセクションで見てきたのは、外部に出ていくお金の話でした。でも実は、これだけでは半分しか見えていません。
見積書には絶対に載ってこない、もう半分の費用があります。社内の人の時間です。
ISO 42001を取るには、AIの使い方ルールを文書にまとめ、リスクを洗い出し、社員教育を実施し、内部監査を回す——これらすべてを自社の担当者が手を動かして進める必要があります。
担当者2〜3名が半年〜1年にわたって稼働すると、人件費換算で100万〜300万円相当。外部費用と同じくらいの金額が、社内で「見えないコスト」として消えていきます。
「外部費用+社内コスト」の合計で試算しないと、予算オーバーはもちろん、担当者が本業と掛け持ちできなくなって現場が回らなくなります。
では、社内コストの中身を具体的に見ていきましょう。
規程整備の工数
社内コストのなかで、いちばん重いのが規程(ルール文書)の整備です。
「規程」とは、会社のルールブックのようなもの。ISO 42001では、AIに関するルールブックをかなり細かく作り込むよう求められます。たとえば——
- AI利用ポリシー — 「うちの会社はAIをこういう方針で使います」という大方針
- リスクアセスメント手順書 — AIを使うことでどんなリスクがあるかを洗い出す手順。「特定の人に不利な結果を出さないか(公平性)」「AIがどう判断したか説明できるか(透明性)」など、従来のセキュリティ対策とは違う観点での評価が必要になります
- 文書管理ルール — 上の文書を誰が・いつ・どう更新するかの取り決め
これらをゼロから作ると、担当者1〜2名が3〜6カ月つきっきりになるケースも珍しくありません。
具体的に計算してみます。
担当者1名 × 月40時間 × 6カ月 = 240時間。時給3,000円で換算すると約72万円。
2名体制で進めるなら、その倍の約144万円です。これだけで、スポット型コンサルの費用に匹敵する金額になります。
前のセクションで触れたとおり、既存のISO文書がある会社ならAI固有の部分を書き足すだけで済むため、この工数は半分以下に縮まります。
内部監査・教育の人件費
規程を作り終えたら完了……とはなりません。ISO 42001には「ルールが本当に回っているか」を毎年チェックする義務がセットでついてきます。取得後も毎年かかるコストなので、ここを見落とすと予算計画が狂います。
まず内部監査。年1回以上、社内のメンバーが「監査員」として自社のAI運用状況を点検する仕組みです。
内部監査員は誰でもなれるわけではなく、外部の研修を受けて育成する必要があります。研修費用は1人あたり5万〜15万円程度。最低2名は確保しておくのが一般的なので、育成だけで10万〜30万円が初期費用としてかかります。
| 項目 | 費用・工数の目安 | 頻度 |
|---|---|---|
| 内部監査員の育成研修 | 1人あたり5万〜15万円(最低2名) | 初回+必要に応じて追加 |
| 年1回の内部監査の実施 | 監査員2名 × 2〜3日+報告書作成 | 毎年 |
| 全社員向けAI教育 | 準備20〜40時間+実施(全社員分) | 毎年 |
| マネジメントレビュー準備 | 資料作成に10〜20時間 | 年1〜2回 |
もう一つ大きいのが全社員向けのAI利用教育です。ISO 42001では、AIに関わるすべての従業員が自社のAIルールを理解している状態を維持するよう求められています。
教育プログラムの企画・資料作成・実施にかかる工数は、準備だけで20〜40時間。しかもこれは一度やれば終わりではなく、毎年繰り返す必要があります。
これらを合算すると、取得後の担当者稼働は最低でも月10〜20時間。年間で50万〜100万円相当の人件費が、認証を維持する限り毎年消えていく計算です。
認証は取って終わりではなく、「維持し続けるもの」。この毎年のランニングコストを初年度の予算計画に組み込んでおくことが、2年目以降に「こんなはずじゃなかった」と言わないための最大のポイントです。
うちの規模だといくら?
外部費用と社内コスト、両方の中身がわかったところで、いよいよ本題です。
「結局うちだといくらかかるの?」——ここに答えを出します。
費用を左右するのは、主に3つの条件です。
- 従業員数 — 多いほど審査日数が増え、教育の対象範囲も広がる
- AIの複雑さ — 社内チャットボット1つなのか、顧客データを扱うAIを5つ運用しているのかで審査の手間がまるで違う
- 既存のISO認証を持っているか — すでに説明したとおり、文書や体制をそのまま流用できる
同じ従業員数の会社でも、この3つの条件次第で費用は2〜3倍変わります。以下の数字はあくまで目安として、自社の状況と照らし合わせてください。
| 規模 | 外部費用合計 | 社内コスト概算 | 初年度総費用目安 |
|---|---|---|---|
| 50人以下 | 180万〜350万円 | 50万〜150万円 | 230万〜500万円 |
| 100〜500人 | 350万〜650万円 | 150万〜250万円 | 500万〜900万円 |
| 1000人超 | 550万〜1,200万円 | 300万〜600万円 | 850万〜1,800万円 |
※2年目以降はサーベイランス審査(30万〜80万円/年)+社内運用コストが別途かかります。
![[グラフ] 3つの企業規模(50人以下・100〜500人・1000人超)ごとに「外部費用」と「社内コスト」を積み上げた棒グラフ。各棒の上に初年度総費用目安(230〜500万円、500〜900万円、850〜1,800万円)を表示](http://ai-mikata.com/wp-content/uploads/2026/04/autopress-8.jpeg)
ここから先は、規模ごとの「その規模ならではの注意点」に絞って解説します。費用の内訳はすでに上の表で出ているので、読み飛ばしたい規模は飛ばしてOKです。
50人以下のAI開発企業
金額が最小とはいえ、負担が軽いとは限りません。
ISO 42001の準備には担当者2〜3名分の稼働が必要ですが、50人以下の会社で専任を置ける余裕はほとんどありません。
実際には「開発をしながら認証準備もやる」状態になりがちで、1人の担当者が月40〜60時間を認証準備に割くことになると、本業の開発スピードが目に見えて落ちます。
少人数ゆえに、1人あたりの負担は3つの規模のなかでいちばん重くなる。これが小規模企業の最大の注意点です。
「コンサル費用を抑えたい」気持ちはわかりますが、フル支援型コンサルを入れて社内の手を空けるほうが、トータルで見ると合理的なケースも多いでしょう。
100〜500人の中堅企業
この規模になると、AIを使う部門が複数にまたがるケースが増えてきます。
営業が需要予測AIを、カスタマーサポートがチャットボットを、マーケティングが顧客分析AIを——という具合に、部門ごとにバラバラのAI活用が進んでいることも珍しくありません。
ここで知っておきたいのが、認証の「スコープ」を絞るという選択肢です。
スコープとは「認証の対象範囲」のこと。ISO 42001の認証は、必ずしも会社全体を一括で取る必要はありません。
「まずはAIを開発・運用しているプロダクト部門だけ」と範囲を限定することができます。
スコープを絞れば、審査対象の部門数・従業員数が減って審査日数が短くなり、コンサルがカバーする範囲も狭くなります。
結果として、費用を下のレンジ(500万円寄り)に近づけられるわけです。
「うちは全部門でAIを使っている」という場合はフルスコープになりますが、まず中核部門で認証を取り、段階的に範囲を広げていくアプローチも現実的な選択肢です。
1000人超の大企業
3つの規模のなかでレンジがいちばん広いのは、AIシステムの数と、社内のガバナンス体制の成熟度が会社ごとにまるで違うためです。
費用を動かす最大の変数は、AIを使っている部門がいくつあるかです。部門ごとにAIの用途もリスクも違うため、部門数が増えるほどリスク評価の対象が広がり、審査日数もコンサル工数も積み上がります。
もう一つの変数が、法務部門や情報セキュリティ部門といった既存のリスク管理体制。こうした部署がすでに機能している会社は、AI固有の対応だけに集中できるため、コンサルをスポット型に絞る余地が生まれます。逆に「AI活用は進んでいるが、リスク管理はこれから」という場合は上限の1,800万円に近づく可能性も。
予算を見積もる前にやっておきたいのが、社内のAI棚卸しです。どの部門が・どんなAIを・どう使っているかをリスト化するだけで、審査機関やコンサルへの相談がスムーズになり、見積もりの精度が格段に上がります。
取得までにかかる期間
費用と並んで、稟議書に必ず書く欄がもう一つあります。「いつまでに取れるか」です。
| 規模 | ISO認証の経験あり | ISO初取得 |
|---|---|---|
| 50人以下 | 6〜9カ月 | 9〜12カ月 |
| 100〜500人 | 9〜12カ月 | 12〜18カ月 |
| 1000人超 | 12〜18カ月 | 18カ月以上 |
ISO認証の経験がある会社は、すでにある仕組みを転用できるぶん準備期間が数カ月短くなります。初取得の場合は、規程整備だけで半年かかることも。
コンサルを入れるかどうかも期間に大きく影響します。フル支援型コンサルは経験に基づいたスケジュール管理で最短ルートを走れますが、自力で進める場合は手戻りが発生しやすく、当初の計画より2〜3カ月延びるケースも珍しくありません。
注意したいのは、期間が延びればそのぶん社内の人件費も膨らむという点です。前のセクションで見た「担当者の月40時間 × 時給3,000円」が、そのまま延長月数分かかってきます。
スケジュールの遅延=コスト増。予算計画を立てるときは、費用と期間をセットで見積もるようにしてください。
費用を抑える2つの方法
ここまでの費用感を見て「けっこうかかるな…」と感じた方も多いはずです。ここからは、現実的にコストを下げられる2つの方法を紹介します。
他のISO認証との統合審査
すでにISO 27001(情報セキュリティ)やISO 9001(品質管理)を取得している会社なら、ISO 42001の審査を既存の審査とまとめて受ける「統合審査」という方法が使えます。
共通する管理の仕組みを一度の審査でまとめてチェックしてもらえるため、審査日数が減り、審査費用を20〜30%程度カットできる場合があります。
ただし、統合できる範囲には限りがあり、どこまでまとめられるかは事前に審査機関への確認が必要です。
そして当然ですが、既存のISO認証を持っていない会社にはこの方法は使えません。「うちの会社ってISOを何か取っていたっけ?」がわからなければ、まず総務や品質管理の部門に聞いてみてください。認証書があれば、統合審査の土台になります。
補助金・助成金の活用
中小企業であれば、IT導入補助金などでコンサル費用が対象になるケースが報告されています。ただし、ISO 42001を名指しで対象にした制度はほとんどなく、「DX推進」等の枠で申請が通るかどうかは年度と内容次第です。いずれも中小企業が主な対象で、申請には審査があります。
制度は毎年変わるので、「ISO認証 補助金 + お住まいの都道府県名」で最新情報を確認してください。
予算を超える落とし穴
費用を抑える方法がわかったところで、逆のリスクも潰しておきましょう。予算を組んだ後に「想定外の出費」で崩れるパターンは、大きく3つあります。
1つ目は、審査での「不適合」連発。 不適合とは「ここが基準を満たしていません」という審査員からの指摘です。重大な指摘が複数出ると、是正したうえでもう一度審査を受け直す「追加審査」が必要になります。
審査は1日あたり15万〜25万円なので、追加で2日かかれば30万〜50万円の上乗せ。さらに是正のためにコンサルへ追加相談すれば、その費用も積み上がります。
よくある指摘は「リスクアセスメントの粒度が粗い」「社員教育の記録が残っていない」の2つ。審査前の内部監査でここを重点チェックしておくだけで、追加審査のリスクはかなり下がります。
2つ目は、コンサル契約の「追加工数」。 「規程のドラフト作成は含むが、社内への説明会は別料金」「修正は2回まで、3回目から追加」——こうした条件が契約書に書いてあるケースは珍しくありません。
防ぐのはシンプルで、契約前に「何が見積もり範囲で、何をしたら追加になるか」を書面で確認するだけです。特に修正回数の上限と、追加料金が発生する条件は必ず聞いておきましょう。
3つ目は、担当者の退職・異動。 認証準備には半年〜1年かかります。その途中で担当者が抜けると、引き継ぎだけで1〜2カ月のロス。最悪の場合、規程整備をやり直すことになります。
対策は担当を最低2名のペア体制にし、判断の経緯を属人的なメモではなく共有ドキュメントに残しておくこと。属人化させないのがいちばんの保険です。
3つとも、発生してから対処するとコストが倍増します。費用の全体像が見えた今のタイミングで、膨らむ原因も一緒に潰しておくのがいちばんの節約です。
結局、取るべきか?
費用の全体像が出そろいました。50人以下で230万〜500万円、中堅で500万〜900万円、大企業で850万〜1,800万円。安くはありません。
問題は「この金額に見合うリターンがあるか」です。答えは、自社の数字を1つの式に当てはめるだけで出せます。
投資回収シミュレーション
計算はシンプルです。
取得費用 ÷ 認証があることで受注できる案件の年間見込み金額 = 回収に必要な割合
たとえば取得費用が500万円の会社が、ISO 42001を条件とする案件を年間5,000万円受注できるなら、取得費用は売上のわずか10%。1年以内に十分回収できる計算です。
まだ「認証を条件とする案件」が手元にない場合は、取引先が今後認証を求めてくる可能性や、入札要件に加わる動きを踏まえて「見込み」で試算してみてください。ゼロならゼロで、今は急がなくていいという判断材料になります。
定量的なリターンが見えないケースでも、もう一つの視点があります。
ISO 42001の導入過程で整備されるAIリスク管理の体制は、そのままAIインシデントの予防策になります。誤判定や情報漏洩といったインシデントが1件起きたときの損害賠償・信用毀損のコストは、認証取得費用を軽く上回ることがほとんどです。「保険」として考える視点も、稟議書には書いておく価値があります。
今取るべき会社の条件
今すぐ動くべきシグナルは3つです。
- 取引先・顧客から認証を求められている。 いちばんわかりやすい判断基準です
- EU市場向けのAIシステムを開発・提供している。 EU AI Act(2026年8月全面適用)への備えとして、AIガバナンス体制の証明になります
- 政府・自治体の入札に参加したい。 入札の加点要素や必須条件としてISO 42001への言及が増えています
どれにも当てはまらないなら、無理に急ぐ必要はありません。ただし、2025〜2026年はISO 42001の取得企業が急増している時期です。先に取った企業がポジションを確保した後では、認証の差別化効果は薄れます。
まずは複数の審査機関とコンサルに見積もりを取って、自社の数字で投資回収を試算するところから始めてみてください。
