「セキュリティポリシーを作ってください」と言われたとき、多くの担当者がやることがあります。他社のポリシーを参考にしたりIPAが提供しているテンプレートを利用したりして、会社名と日付を変えて完成させることです。
参考:中小企業の情報セキュリティ対策ガイドライン(IPA)
これは間違っていません。IPAも「テンプレートをそのままお手本にするところから始めるのがよい」と推奨しています。セキュリティポリシーはゼロから作るものではなく、ひな型を自社に合わせてカスタマイズするものです。
ただし「作ること」と「★3の専門家確認に耐えられること」は別の話です。
SCS評価制度(★3)のガバナンス領域では、ポリシーが存在するかどうかだけでなく、責任者が実際に決まっているか・守秘義務ルールが実際に運用されているか・基本方針が自社の実態に即した内容になっているかを専門家が確認します。他社のひな型のまま責任者名が空欄・守秘義務ルールが机上の空論という状態では、専門家確認で指摘される可能性があります。
本記事では、セキュリティポリシーをIPAのテンプレートで作ることを前提に、★3の専門家確認に耐えるために3箇所だけ実態に合わせて書き直すべき論点を解説します。
この記事でわかること
- セキュリティポリシーとは何か・用途別の最低ライン
- IPAのテンプレートで今日作れる理由
- ★3の専門家確認で見られる3箇所
- 3箇所をどう書き直すか
- 作った後の運用と改定のタイミング
セキュリティポリシーとは何か|中小企業が用意すべき理由
セキュリティポリシーの3階層
セキュリティポリシーは3つの階層で構成されます。
| 階層 | 名称 | 内容 | 分量 |
|---|---|---|---|
| 第1層 | 基本方針 | 経営者が情報セキュリティへの取り組みを宣言する文書 | 1〜2枚 |
| 第2層 | 対策基準 | 守るべきルールのレベルを定めた文書 | 数枚 |
| 第3層 | 実施手順 | 具体的な操作・運用手順 | 部門ごとに作成 |
中小企業が★3取得・SECURITY ACTION★2・Google広告審査等のために用意すべきは主に第1層の「基本方針」です。第2層・第3層は規模や業種に応じて段階的に整備できます。
用途別の最低ライン
| 用途 | 最低限必要なもの |
|---|---|
| SECURITY ACTION★2 | 基本方針を策定・外部公開するだけ |
| Google広告・SEO | プライバシーポリシー兼用でも可 |
| 取引先への信頼証明 | 基本方針の存在と公開 |
| ★3取得 | 基本方針+責任者設置+守秘義務ルールの実態運用 |
★2やGoogle広告対応なら、IPAのテンプレートを会社名・日付・代表者名だけ変えて公開すれば最低ラインを満たせます。しかし★3では3箇所の実態確認が追加されます。
セキュリティポリシーの作り方|IPAのテンプレートを使う
テンプレートで今日作れる
IPAの「中小企業の情報セキュリティ対策ガイドライン」付録として、情報セキュリティ基本方針のWordテンプレートが無料で公開されています。
テンプレートの構成はこうなっています。
- 情報セキュリティ基本方針(1枚)
- 情報セキュリティ対策基準(規程サンプル)
- 付録チェックリスト
基本方針は会社名・代表者名・日付・事業内容の概要を入力すれば完成します。SECURITY ACTION★1・★2を今日始める手順でも整理していますが、★2の取得要件はこの基本方針を作って外部公開するだけです。
ひな型でいい理由
セキュリティポリシーは「自社が情報セキュリティに取り組む姿勢を示す文書」です。業種・規模に関わらず基本的な構造は同じであり、IPAのテンプレートはその標準的な構造を網羅しています。
ゼロから作ることに時間をかけるより、テンプレートを使って早く「ある状態」を作り、実態に合わせて必要箇所だけ修正することが現実的です。
セキュリティポリシー 中小企業が★3審査で見られる3箇所
★3のガバナンス領域には3つの要求事項があります。それぞれについて専門家が確認する内容と、ひな型のままだと何が問題になるかを整理します。
確認箇所①:1-2-1「セキュリティ推進活動部門の設置」
専門家が確認すること: セキュリティを推進する責任者・担当者が実際に決まっているか。組織図や社内文書で確認できる状態にあるか。
ひな型のままだと何が問題か: テンプレートには「情報セキュリティ責任者を設置する」という文言が入っています。しかし「誰が責任者か」が決まっていない・社内で周知されていないという状態では、文書に書いてあっても実態がないと判断される可能性があります。
どう書き直すか: 責任者の役職名・氏名を明記します。専任でなくても構いません。「情報システム担当:○○部長」のような形で実在する人物を責任者として指定します。
確認箇所②:1-2-3「守秘義務のルール」
専門家が確認すること: 社員への守秘義務が文書化されているか。入社時・退職時に守秘義務を説明・確認する仕組みが存在するか。
ひな型のままだと何が問題か: テンプレートには「従業員は守秘義務を遵守する」という文言が入っています。しかし実際に誓約書を取っているか・退職者への対応が決まっているかが確認されます。文書に書いてあるだけで運用されていない状態は不十分です。
どう書き直すか: 入社時に守秘義務誓約書を取得している場合はその旨を記載します。退職者への情報返却・アカウント削除の手順も簡潔に記載します。既に雇用契約書に守秘義務条項が含まれている場合は、その旨を参照する形でも対応できます。
確認箇所③:1-3-1「セキュリティ対応方針の策定」
専門家が確認すること: 基本方針が自社の事業・業種・取り扱う情報に即した内容になっているか。代表者の意思として機能する文書になっているか。
ひな型のままだと何が問題か: テンプレートの文言をそのまま使うと「一般的なセキュリティへの取り組み宣言」になります。専門家が見たとき「この会社の方針として機能しているか」という視点で確認されます。自社の業種・主な情報資産・取引先への影響が反映されていることが望ましい。
どう書き直すか: 以下の3点を自社の実態に合わせて追記・修正します。「自社が扱う主な情報の種類(顧客情報・財務データ等)」「取引先・顧客への影響を考慮した対応方針」「代表者の意思として経営判断レベルで記載されていること」。1〜2文の追記で対応できます。
セキュリティポリシーの作り方|用途別のカスタマイズポイント
★3以外の用途で作る場合
リマーケティング広告を開始する・新しいクラウドサービスを導入する・個人情報保護法の改正に対応するといった会社都合の改定は、セキュリティポリシーの自然な更新タイミングです。
この場合は変更した内容を記録し、版数・改定日・改定理由を記載しておくことで、★3の専門家確認時に「ポリシーが適切に管理・更新されている」という証拠になります。
IT資産台帳との接続
IT資産台帳 中小企業の作り方で整理している情報資産管理台帳の重要度評価は、セキュリティポリシーの「対策基準」を書く際の根拠になります。「重要度3の情報にはMFAを設定する」「重要度2以上の情報はバックアップ対象とする」という形で接続できます。
セキュリティポリシー 中小企業が作った後の運用設計
年1回の見直し
★3の専門家確認では「ポリシーが定期的に見直されているか」も確認される可能性があります。年1回・期首または年度末に見直しのタイミングを設定し、版数・改定日を更新する運用が最低ラインです。
社員への周知
作っただけでは機能しません。入社時のオリエンテーション・年1回の社内研修・社内ポータルへの掲載など、社員が「ポリシーが存在することを知っている」状態を作る必要があります。専門家確認で「社員はポリシーの存在を知っていますか」と聞かれたとき、答えられる状態にしておくことが重要です。
外部公開の方法
基本方針は自社Webサイトへの掲載が標準的です。SECURITY ACTION★2の取得要件でもあり、SECURITY ACTION★1・★2を今日始める手順と合わせて対応できます。会社概要ページや採用ページからリンクを張ることで、取引先・採用候補者への信頼証明としても機能します。
まとめ|セキュリティポリシーはひな型で作り、3箇所だけ実態に合わせる
セキュリティポリシーはIPAのテンプレートを使えば今日作れます。ゼロから考える必要はありません。SECURITY ACTION★2・Google広告・取引先への信頼証明が目的なら、テンプレートに会社名・日付・代表者名を入れて公開するだけで対応できます。
★3取得を目的とする場合は、3箇所だけ実態に合わせて書き直します。責任者の実在する人物の指定・守秘義務ルールの実態運用の記載・自社の事業・情報に即した基本方針の修正。これだけで★3の専門家確認に耐えられる文書になります。
セキュリティ対策評価制度が中小企業に与える影響でも整理していますが、★3対応は制度開始前の今から準備を始めることで、申請時のコストと時間を大幅に削減できます。
コメント