この記事でわかること
- 情報セキュリティポリシーの目的と3層構造
- 基本方針・対策基準・実施手順に記載すべき項目
- 中小企業がポリシーを策定する具体的な手順
- IPA・JIPDECの無料テンプレートの活用方法
- 策定後の周知・教育・見直しサイクル
情報セキュリティポリシーとは
情報セキュリティポリシーとは、企業が情報資産を守るために定めるルールの体系です。「何を守るか」「どう守るか」「誰が責任を持つか」を文書化し、全社員が共通認識を持つための基盤となります。
ISMS(ISO 27001)やPマークの取得にはポリシーの策定が必須ですが、認証を取得しない場合でも、ポリシーを策定しておくことには大きなメリットがあります。
- インシデント発生時の対応基準になる
- 取引先からの信頼につながる(大手企業との取引で求められることが増加)
- 社員の意識向上 — 明文化されたルールは行動の指針になる
- 法的リスクの軽減 — 個人情報保護法の「安全管理措置」の一環として位置づけ
ポリシーの3層構造
情報セキュリティポリシーは一般的に3層構造で策定します。
| 層 | 名称 | 内容 | 対象読者 |
|---|---|---|---|
| 第1層 | 基本方針 | 経営者の宣言。セキュリティに対する企業の姿勢 | 全社員・外部公開 |
| 第2層 | 対策基準 | 具体的なルール。「こうすべき」を定める | 全社員・管理者 |
| 第3層 | 実施手順 | 具体的な手順書・マニュアル | 担当者 |
第1層:基本方針の記載項目
基本方針は経営者名で発行する1〜2ページの文書です。Webサイトに公開する企業も多くあります。
- 目的 — 情報セキュリティに取り組む理由
- 適用範囲 — 対象となる組織・人・情報資産の範囲
- 経営者のコミットメント — 「経営者として情報セキュリティの確保に努める」旨の宣言
- 法令遵守 — 関連法規(個人情報保護法等)の遵守
- 体制 — 情報セキュリティ管理責任者の設置
- 教育 — 全従業員への教育・啓発の実施
- 継続的改善 — 定期的な見直しと改善
- 違反時の対応 — 就業規則に基づく処分
- 制定日・改定日・経営者署名
第2層:対策基準の記載項目
対策基準は具体的な「〜すべき」ルールを定めます。中小企業で最低限必要な項目は以下のとおりです。
人的セキュリティ
- 入社時のセキュリティ教育・機密保持契約の締結
- 退職時の情報資産返却・アカウント削除手順
- 年1回のセキュリティ研修の義務化
アクセス管理
- パスワードポリシー(12文字以上、多要素認証の必須化)
- 権限の最小化(必要な人にのみ必要な権限を付与)
- 退職者・異動者のアカウント即時無効化
- アクセス権限の四半期ごとの棚卸し
物理的セキュリティ
- オフィスの入退室管理
- サーバールーム・書庫の施錠管理
- クリアデスク・クリアスクリーンポリシー
技術的セキュリティ
- ウイルス対策ソフト(EDR)の導入義務
- OS・ソフトウェアのアップデートポリシー
- 暗号化(通信のHTTPS化、ディスク暗号化)
- バックアップの実施基準(頻度、保管場所、テスト)
インシデント対応
- インシデント報告の手順と連絡先
- 深刻度の分類基準
- 外部報告(個人情報保護委員会等)の判断基準
テレワーク
- テレワーク時の端末管理ルール
- 自宅Wi-Fi・公共Wi-Fiの利用ルール
- BYOD(個人端末利用)の可否と条件
第3層:実施手順(マニュアル)
対策基準で定めたルールを「具体的にどう実行するか」の手順書です。
- パスワード変更手順 — Google Workspace、Microsoft 365等のパスワード変更+MFA設定方法
- インシデント報告手順 — 報告フォーム、連絡先一覧、エスカレーションフロー
- バックアップ手順 — 具体的なツール操作とスケジュール
- 退職時チェックリスト — アカウント無効化、端末回収、データ消去の手順
ポリシー策定のポイント
ポリシー策定で最も重要なのは「守れるルールを作る」ことです。理想的だが実行不可能なルールは、誰も守らず形骸化します。まず最低限のルール(MFA義務化、パスワード12文字以上、退職時アカウント削除)から始めて、運用が定着してから段階的に追加しましょう。IPAの「中小企業の情報セキュリティ対策ガイドライン」に付録されているひな形が参考になります。
策定から運用までの手順
- 現状把握(1〜2週間)— 現在のセキュリティ状況を確認。何ができていて何ができていないか
- リスクの洗い出し(1〜2週間)— 情報資産の一覧作成、リスクの特定
- ポリシー案の作成(2〜4週間)— IPAテンプレートをベースにカスタマイズ
- 経営者の承認(1週間)— 基本方針への署名
- 全社員への周知・教育(1〜2週間)— 説明会の実施、確認テスト
- 運用開始
- 年1回の見直し — 環境変化やインシデントを踏まえた改定
無料テンプレートの活用
- IPA「中小企業の情報セキュリティ対策ガイドライン」 — 付録にポリシーのひな形(Word形式)が付属。最も実用的
- JIPDEC「プライバシーマーク制度」 — Pマーク取得用のテンプレート
- 経済産業省「サイバーセキュリティ経営ガイドライン」 — 経営者向けの指針
まとめ
- 情報セキュリティポリシーは3層構造(基本方針・対策基準・実施手順)で策定
- 基本方針は経営者名で発行。外部公開してもよい
- 対策基準は「守れるルール」から始める。MFA・パスワード・退職時対応が最優先
- IPAの無料テンプレートを活用。ゼロから作る必要はない
- 策定だけでなく周知・教育が重要。全社員に説明会を実施
- 年1回の見直しで環境変化に対応
情報セキュリティポリシーの策定やISMS取得のご相談は、お問い合わせからお気軽にどうぞ。FUNBREWでは、中小企業のセキュリティ体制づくりをサポートしています。
よくある質問
情報セキュリティポリシーとは何ですか?策定する義務はありますか?
情報セキュリティポリシーとは、企業が保有する情報資産をどのように守るかを定めた基本文書です。「基本方針(セキュリティへの考え方・宣言)」「対策基準(具体的な管理ルール)」「実施手順(業務別の手順書)」の3層で構成するのが一般的です。法律上の義務規定はありませんが、個人情報保護法への対応、取引先からの要請、入札参加要件などで実質的に必要になるケースが増えています。ISMS(ISO 27001)認証取得を目指す場合も、ポリシー整備は必須です。
情報セキュリティポリシーに記載すべき項目は何ですか?
最低限含めるべき項目は、①目的・適用範囲、②経営陣のコミットメント宣言、③情報資産の分類と管理責任、④アクセス制御(パスワード・権限管理)、⑤インシデント発生時の対応方針、⑥教育・訓練の実施方針、⑦定期的な見直し・改善の仕組みです。IPAが無償提供する「情報セキュリティ基本方針サンプル」を参考にすると、中小企業でも比較的スムーズに作成できます。自社の業種や規模に合わせてカスタマイズしてください。
中小企業がゼロから作成する場合、どこから手をつければ良いですか?
まず①自社がどんな情報を持っているか(顧客情報・財務データ・営業秘密など)をリストアップし、②情報漏洩・システム障害が起きた場合の影響度を評価します。次に③IPA(情報処理推進機構)やJIPDEC提供のテンプレートをベースに基本方針を作成し、④実際の業務手順に落とし込む流れが効率的です。重要なのは「完璧なものを一度で作ろうとしない」こと。まず最低限の方針を策定して運用を開始し、毎年見直す仕組みを作ることが長続きのコツです。
情報セキュリティポリシーの策定にかかる費用と期間の目安は?
自社で作成する場合、IPAのテンプレートを活用すれば費用はほぼゼロ(担当者の工数のみ)で、1〜3ヶ月程度で基本的な文書が完成します。コンサルタントや専門会社に依頼する場合は、中小企業向けの支援パッケージが30〜100万円程度から提供されています。ISMS認証取得まで目指す場合は、コンサル費用・認証取得費用・維持費用を合わせて年間100〜300万円程度を見込んでください。まずは自社作成から始め、第三者によるレビューを受けるのがコスト効率の良いアプローチです。
ポリシーを作ったあと、どうやって社内に浸透させますか?
策定したポリシーを「見えないところに置いておくだけ」では機能しません。浸透のポイントは、①全従業員向けの読み合わせ研修の実施、②入社時・更新時の誓約書(ポリシー遵守の確認書)の取得、③社内システムのログイン時や社内ポータルでの定期掲示、④年1回の遵守状況チェック(内部監査)です。特に中小企業では、経営トップが「うちの会社はセキュリティを真剣に取り組んでいる」と明示的にアナウンスすることで、従業員の意識が大きく変わります。
情報セキュリティポリシーはどのくらいの頻度で見直すべきですか?
最低でも年1回の見直しが推奨されます。また、以下のタイミングでは都度更新が必要です:①新しいクラウドサービスやシステムの導入時、②組織体制や業務フローの大幅変更時、③セキュリティインシデントの発生後、④法改正(個人情報保護法・不正アクセス禁止法など)時。「策定したら終わり」ではなく、事業環境の変化に合わせて継続的にブラッシュアップする姿勢が、実効性の高いセキュリティ管理につながります。
情報セキュリティポリシーとISMS(ISO 27001)認証の関係は?
情報セキュリティポリシーはISMS認証の土台となる文書です。ISMS認証とは、情報セキュリティ管理の仕組みが国際規格ISO 27001に適合していることを第三者機関が認証するもので、取引先・顧客へのセキュリティ水準の証明として使われます。認証取得にはポリシーの策定だけでなく、リスクアセスメント・管理策の実施・内部監査・マネジメントレビューなど一連の運用サイクルが必要です。取引先からISMS認証を求められるケースが増えており、受注拡大を目指す企業にとっては重要な投資になります。
テレワーク・リモートワーク環境でのセキュリティポリシー上の注意点は?
テレワーク導入時にポリシーへ追記・更新すべき主な項目は、①業務端末の使用ルール(私用端末の可否・MDM導入の有無)、②VPN・セキュアなネットワーク接続の義務化、③ファイルの社外持ち出し・クラウドストレージ利用ルール、④画面のぞき見・物理的セキュリティ(家族・同居人への情報漏洩防止)です。「オフィス内と同じ感覚で作業しない」という意識付けと、技術的な統制(端末暗号化・アクセスログ管理)を組み合わせることが効果的です。
この記事をシェア