2σ Guide

情報セキュリティ規程の
法務・ガバナンス・実務設計

個人情報、営業秘密、クラウド、委託先管理、インシデント対応を、経営と現場が使える社内統制として設計するための実務整理です。

3-5日漏えい等速報の目安
30日/60日確報期限の目安
6機能NIST CSF 2.0
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

情報セキュリティ規程の 法務・ガバナンス・実務設計

個人情報、営業秘密、クラウド、委託先管理、インシデント対応を、経営と現場が使える社内統制として設計するための実務整理です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
情報セキュリティ規程の 法務・ガバナンス・実務設計
個人情報、営業秘密、クラウド、委託先管理、インシデント対応を、経営と現場が使える社内統制として設計するための実務整理です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 情報セキュリティ規程の 法務・ガバナンス・実務設計
  • 個人情報、営業秘密、クラウド、委託先管理、インシデント対応を、経営と現場が使える社内統制として設計するための実務整理です。

POINT 1

  • 情報セキュリティ規程の全体像
  • まず、規程が 企業法務 ・内部統制・現場運用をつなぐ文書であることを押さえます。
  • 読者は、どの文書で方針を示し、どの文書で日々の取扱いを定めるのかを読み取ってください。
  • 規程の本質は、誰が、何を、どの権限で、どの手続に従い、どの証跡を残し、違反時にどう対応するかを明確にすることです。
  • 理念だけでも、細かな手順だけでも足りません。

POINT 2

  • 情報セキュリティ規程と法令・標準の位置づけ
  • 個人情報保護、営業秘密、内部統制、ISMS、NISTの視点を規程へ接続します。
  • 速報はおおむね3日から5日以内、確報は原則30日以内
  • 委託先の漏えい、元従業員の持出し、サイバー攻撃による業務停止は、いずれも規程の設計と運用に直結します。
  • 法令・標準・ガイドラインは、それぞれ情報セキュリティ規程に求める視点が異なります。

POINT 3

  • 情報セキュリティ規程の基本設計
  • 規程体系、目的条項、適用範囲を分け、運用できる社内ルールへ落とし込みます。
  • 目的条項
  • 機密性・完全性・可用性
  • 適用範囲

POINT 4

  • 情報セキュリティ規程に入れる主要条項
  • 権限発行・変更・削除
  • 申請、承認、記録、期限管理を定め、退職、休職、異動、出向、委託終了と連動させます。
  • 管理者権限・特権ID
  • 付与基準、承認者、利用記録、監査、共有アカウントの原則禁止を明確にします。

POINT 5

  • 情報分類・クラウド・委託先管理の実務
  • 分類とラベリング、端末・クラウド、生成AI、委託先管理を運用条項へ落とし込みます。
  • 端末と媒体
  • クラウド・SaaS
  • リモートワーク

POINT 6

  • 情報セキュリティ規程とリスクアセスメント
  • 1. 情報資産の洗い出し:重要システム、データ、媒体、委託先、クラウドを特定します。
  • 2. 分類と脅威の識別:機密性、完全性、可用性、法令影響で分類し、不正アクセス、誤送信、内部不正、災害、障害を見ます。
  • 3. 脆弱性と影響度の評価:権限過多、未更新、ログ不足、教育不足を確認し、金銭損害、法令違反、信用失墜、事業停止を評価します。
  • 4. 経営承認が必要:残存リスクを経営層が確認し、予算や体制を含めて承認します。
  • 5. 対応計画へ反映:低減、回避、移転、受容を決め、規程・細則・監査項目に反映します。

POINT 7

  • 情報セキュリティ規程におけるインシデント対応
  • 初動、証拠保全、外部専門家、公表、ステークホルダー対応を規程化します。
  • 外部専門家
  • 公表判断
  • 関係者対応

POINT 8

  • 情報セキュリティ規程の監査と継続的改善
  • 1. 現状把握:既存規程、契約書、情報資産、システム、委託先、事故履歴を確認し、重複、矛盾、空白を把握します。
  • 2. リスク評価:売上に直結するシステム、大量個人情報、研究開発環境、外部公開システム、委託先、海外クラウドを優先して評価します。
  • 3. 規程案作成と経営承認:法務、情報システム、個人情報保護担当、内部監査、人事、総務、現場部門が協議し、残存リスクや予算措置も説明します。
  • 4. 周知教育と監査:従業員、管理職、委託先に説明し、申請書、台帳、ログ、報告経路が実際に使われているかを確認します。

まとめ

  • 情報セキュリティ規程の 法務・ガバナンス・実務設計
  • 情報セキュリティ規程の全体像:まず、規程が 企業法務 ・内部統制・現場運用をつなぐ文書であることを押さえます。
  • 情報セキュリティ規程と法令・標準の位置づけ:個人情報保護、営業秘密、内部統制、ISMS、NISTの視点を規程へ接続します。
  • 情報セキュリティ規程の基本設計:規程体系、目的条項、適用範囲を分け、運用できる社内ルールへ落とし込みます。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

情報セキュリティ規程の全体像

まず、規程が企業法務・内部統制・現場運用をつなぐ文書であることを押さえます。

情報セキュリティ規程は、IT部門の操作ルールにとどまらず、個人情報、営業秘密、契約上の秘密情報、研究開発情報、顧客データ、従業員情報、会計情報、取引先情報、システム構成情報を、経営管理と法務管理の対象に置く中核文書です。

このページでは、情報セキュリティ規程がどの文書群の中で機能するかを一覧で整理します。文書ごとの役割を分けて見ることが重要なのは、経営方針、全社ルール、現場手順、事故対応を混同すると、承認者も改訂頻度も曖昧になるためです。読者は、どの文書で方針を示し、どの文書で日々の取扱いを定めるのかを読み取ってください。

文書役割典型的な内容
情報セキュリティ基本方針経営者の基本姿勢を示す上位文書経営責任、法令遵守、継続的改善、顧客信頼
情報セキュリティ規程全社共通のルールを定める中核文書体制、情報分類、アクセス管理、委託先管理、事故対応
情報取扱細則具体的な取扱手順を定める文書持出し、廃棄、暗号化、クラウド利用、メール送信
システム管理規程IT運用の技術統制を定める文書アカウント、ログ、バックアップ、脆弱性対応
個人情報取扱規程個人データに特化した文書利用目的、安全管理措置、委託、漏えい等報告
営業秘密管理規程営業秘密に特化した文書秘密表示、アクセス制限、退職時管理、持出し禁止
インシデント対応規程事故時の対応を定める文書報告、初動、調査、当局報告、顧客通知、再発防止

規程の本質は、誰が、何を、どの権限で、どの手続に従い、どの証跡を残し、違反時にどう対応するかを明確にすることです。理念だけでも、細かな手順だけでも足りません。経営レベルの方針、管理体制、現場手順、監査証跡を接続することが、情報セキュリティ規程の出発点です。

要点情報セキュリティ規程は、個人情報保護法上の安全管理措置、不正競争防止法上の営業秘密管理、取締役の内部統制、委託先管理、労務管理、証拠保全、事故対応を一つの社内統制体系に接続する文書です。
Section 02

情報セキュリティ規程の基本設計

規程体系、目的条項、適用範囲を分け、運用できる社内ルールへ落とし込みます。

情報セキュリティ規程を実効的にするには、1つの文書にすべてを詰め込まないことが重要です。経営方針、全社規程、部署別手順、技術標準、チェックリスト、教育資料を分けることで、承認者、改訂頻度、読者が明確になります。

次の一覧は、規程体系を階層ごとに整理したものです。階層の上に行くほど経営判断や全社方針に近く、下に行くほど実務の記録や申請に近づきます。読者は、頻繁に変わる技術条件を規程本文に固定しすぎず、細則や基準書に置く考え方を読み取ってください。

階層文書名の例承認者改訂頻度主な読者
第1階層情報セキュリティ基本方針取締役会または代表取締役年1回以上全従業員、取引先、顧客
第2階層情報セキュリティ規程取締役会、経営会議、規程管理委員会年1回以上全従業員、管理職
第3階層情報取扱細則、アカウント管理細則、クラウド利用細則CISO、情報セキュリティ責任者必要時現場担当、IT部門
第4階層手順書、申請書、チェックリスト部門責任者随時実務担当者
第5階層証跡、ログ、教育記録、監査記録各担当部署継続的監査、法務、調査担当

目的条項と適用範囲は、規程全体の射程を決めます。次の一覧は、目的、人的範囲、組織範囲、情報範囲、システム範囲、場所・媒体の範囲をまとめたものです。読者にとって重要なのは、業務委託先、派遣社員、グループ会社、海外拠点、クラウド、生成AIを含めるかを、契約や関連規程とセットで判断する点です。

Purpose

目的条項

顧客・取引先・従業員・株主の信頼保護、個人情報・営業秘密・知的財産の保護、法令・契約・社内規程の遵守、事業継続、証拠保全を明示します。

CIA

機密性・完全性・可用性

権限のない者に見せないこと、正確で改ざんされていないこと、必要なときに使えることを、情報資産管理の中核概念として扱います。

Scope

適用範囲

役員、従業員、委託先、出向者、退職者、本社・支社・子会社、クラウド、SaaS、端末、ネットワーク、紙・電子媒体を整理します。

社内規程だけでは外部委託先を直接拘束しにくいため、秘密保持契約、業務委託基本契約、データ処理契約、サービス利用規約との接続が必要です。規程体系は、契約レビューと運用監査の出発点にもなります。

Section 03

情報セキュリティ規程に入れる主要条項

定義、責任体制、分類、アクセス管理を条項として整理します。

情報セキュリティ規程に入れるべき条項は、定義、責任体制、情報分類、アクセス管理、端末・クラウド、リモートワーク、委託先管理、事故対応、ログ、教育、懲戒に分けると漏れを防ぎやすくなります。

次の比較表は、定義条項と責任体制の設計で確認すべき内容を示します。用語と役割を先にそろえることが重要なのは、法務とIT、個人情報保護担当、内部監査、現場部門が同じ言葉で判断できるようにするためです。読者は、定義が曖昧なまま運用を始めると、事故時の判断が遅れる点を読み取ってください。

区分規程で定める内容運用上の注意
情報資産情報、システム、媒体、認証情報、ログ等紙、電子ファイル、クラウド、端末、バックアップを含める
機密情報・重要情報漏えい等で損害や重大影響を生じる情報秘密表示、保存場所、承認、送信制限と結びつける
個人情報・営業秘密法令上の定義と社内分類の接続個人情報取扱規程、営業秘密管理規程と整合させる
利用者・管理者・委託先誰が情報資産を扱い、誰が管理責任を負うか外部事業者には契約で同等以上の義務を課す

責任体制は、経営、法務、IT、人事、監査、各部門の役割を分けて定めます。次の一覧は、各部署が主に見るべきポイントを示します。読者にとって重要なのは、責任者を置くという宣言だけでなく、何を決定し、どの部署に指示し、どの事項を経営へ報告するかまで定める点です。

01

経営・取締役会

基本方針、重要リスク、重大事故、資源配分を監督し、残存リスクの承認を担います。

統治
02

CISO・委員会

全社施策、規程管理、リスク評価、事故対応、教育、監査結果確認を横断的に進めます。

管理
03

法務・個人情報保護担当

法令、契約、当局報告、本人通知、損害賠償、証拠保全、規程整備を担当します。

法令
04

情報システム・内部監査・人事

技術的対策、ログ、バックアップ、規程遵守状況、教育、退職時手続、懲戒との整合を確認します。

実装

アクセス管理は、業務上必要な者に、必要な範囲で、必要な期間だけ権限を与える考え方が中心です。次の一覧は、日常運用で定めるべきアクセス管理項目を示します。項目ごとの違いを押さえることが重要なのは、退職・異動・委託終了時の権限削除や特権IDの監査が抜けると、事故時の説明が難しくなるためです。

権限発行・変更・削除

申請、承認、記録、期限管理を定め、退職、休職、異動、出向、委託終了と連動させます。

管理者権限・特権ID

付与基準、承認者、利用記録、監査、共有アカウントの原則禁止を明確にします。

認証情報

多要素認証、パスワード、秘密鍵、APIキー、トークンの管理方法を定めます。

委託先アカウント

期限、利用範囲、削除、ログ確認を定め、契約終了時の漏れを防ぎます。

Section 04

情報分類・クラウド・委託先管理の実務

分類とラベリング、端末・クラウド、生成AI、委託先管理を運用条項へ落とし込みます。

情報分類は、すべての情報に同じ管理を求めず、重要度に応じて管理水準を変えるための仕組みです。ラベルだけでなく、アクセス制御、暗号化、ログ、委託先監督、削除記録と組み合わせる必要があります。

次の比較表は、公開情報から法令等保護情報までの分類例と管理水準を示します。分類ごとの差を読むことが重要なのは、現場が過剰な管理で疲弊することを避けつつ、重要情報を軽く扱わないためです。読者は、分類名ではなく、どの管理を紐づけるかを確認してください。

分類主な管理
公開情報会社案内、公開済みIR資料、公開プレスリリース改ざん防止、公開承認
社内限定情報社内連絡、一般業務資料、社内マニュアル社外共有禁止、社内アカウント限定
機密情報契約書、顧客リスト、価格表、事業計画、未公開人事情報アクセス制限、暗号化、持出し承認
重要機密情報M&A情報、未公開決算、技術ノウハウ、認証情報、大量個人データ厳格な権限管理、ログ監視、保存場所限定
法令等保護情報個人データ、要配慮個人情報、マイナンバー、営業秘密法令別の追加措置、委託先監督、削除記録

端末、ネットワーク、クラウド、リモートワークは、社外環境で情報資産が扱われる場面です。次の一覧は、制度化すべき技術・運用項目をまとめたものです。読者にとって重要なのは、技術担当者の努力に任せず、承認、記録、監査の対象として扱う点です。

Device

端末と媒体

会社貸与端末と私物端末の可否、暗号化、画面ロック、OS更新、EDR、外部記録媒体の制限を定めます。

Cloud

クラウド・SaaS

導入前審査、管理者権限、監査ログ、データ保存場所、解約時の返却・削除、未承認サービスの例外承認を定めます。

Remote

リモートワーク

自宅・出張先・公共空間での作業、紙資料の持出し、覗き見防止、公共Wi-Fi、家族の閲覧防止、紛失時報告を定めます。

AI

生成AI・外部API

入力してよい情報と禁止情報、学習利用、データ保持、契約審査、出力物の正確性・著作権・秘密情報混入の確認を定めます。

委託先管理は、選定前から終了時まで段階で考える必要があります。次の比較表は、各段階で規程に定める事項を示します。順番を追って見ることが重要なのは、契約時だけ強化しても、委託中の変更管理や終了時の削除証明が抜けると、サプライチェーン上の弱点になるためです。

フェーズ規程に定める事項
選定前情報取扱いの有無、委託先のセキュリティ水準、認証、過去事故、再委託有無
契約時秘密保持、安全管理措置、再委託制限、監査権、事故報告、データ返却・削除
委託中定期報告、教育、アクセス権限、ログ、変更管理、脆弱性対応
事故時即時報告、調査協力、証拠保全、本人通知、当局報告、費用負担
終了時データ返却、削除証明、アカウント削除、媒体返却、秘密保持継続
Section 05

情報セキュリティ規程とリスクアセスメント

情報資産、脅威、脆弱性、残存リスクを評価し、個人情報・営業秘密・AI利用へ展開します。

情報セキュリティ規程は、リスクアセスメントなしに作ると形式的な文書になりやすいです。守るべき情報資産、脅威、脆弱性、影響度、発生可能性を評価し、低減、回避、移転、受容のどれで対応するかを決める必要があります。

次の判断の流れは、情報資産の洗い出しから経営承認までの順番を示します。順番が重要なのは、残存リスクの受容を現場判断に任せず、経営リスクとして承認するためです。読者は、各段階で台帳、一覧、評価、計画、承認記録という成果物が残ることを読み取ってください。

リスク評価から経営承認までの判断の流れ

情報資産の洗い出し

重要システム、データ、媒体、委託先、クラウドを特定します。

分類と脅威の識別

機密性、完全性、可用性、法令影響で分類し、不正アクセス、誤送信、内部不正、災害、障害を見ます。

脆弱性と影響度の評価

権限過多、未更新、ログ不足、教育不足を確認し、金銭損害、法令違反、信用失墜、事業停止を評価します。

重大
経営承認が必要

残存リスクを経営層が確認し、予算や体制を含めて承認します。

管理可能
対応計画へ反映

低減、回避、移転、受容を決め、規程・細則・監査項目に反映します。

個人情報、営業秘密、知的財産は、法的効果が特に大きい領域です。次の比較表は、それぞれの管理対象と規程への反映事項を整理します。読者にとって重要なのは、個人情報取扱規程や営業秘密管理規程と分けて作る場合でも、情報セキュリティ規程と矛盾させないことです。

領域規程に反映する事項注意点
個人情報台帳化、利用目的、保有期間、アクセス権限、持出し制限、委託先監督、越境移転、漏えい等報告、本人通知、削除記録報告対象該当性の判断は個人情報保護担当と法務が期限を意識して行う
営業秘密秘密指定、アクセス制限、持出し制限、NDA、人的管理、ログ、退職時管理秘密管理性を支える証拠として教育、誓約書、ラベル、監査記録を残す
知的財産出願前発明情報、研究開発データ、ノウハウ、共同研究、ライセンス、OSS利用特許出願と秘匿化、成果帰属、共同開発契約との整合を確認する
生成AI・SaaS承認済みサービス、入力禁止情報、契約審査、学習利用、データ保持、管理者機能、解約時削除技術審査だけでなく利用規約、責任制限、再委託、準拠法、事故通知義務を確認する
Section 06

情報セキュリティ規程におけるインシデント対応

初動、証拠保全、外部専門家、公表、ステークホルダー対応を規程化します。

インシデントとは、漏えい、滅失、毀損、不正アクセス、マルウェア感染、ランサムウェア、フィッシング、誤送信、端末紛失、内部不正、サービス停止など、情報セキュリティを害する出来事です。規程は予防策だけでなく、発生後の法務対応も定める必要があります。

次の比較表は、事故発見時の初動を順番に整理したものです。順番を確認することが重要なのは、初動の遅れや証拠散逸が、報告遅延、被害拡大、風評被害、訴訟リスクにつながるためです。読者は、受付、分類、隔離、保全、通知、判断、復旧、再発防止を分けて見るようにしてください。

項目内容
受付発見者、時刻、対象システム、異常内容を記録
分類漏えい、滅失、毀損、不正アクセス、マルウェア、停止等に分類
隔離被害拡大防止のため端末やアカウントを隔離
保全ログ、端末、メール、チャット、クラウド履歴を保全
通知CISO、法務、個人情報保護担当、経営層に報告
判断当局報告、本人通知、取引先連絡、公表要否を判断
復旧バックアップ、脆弱性修正、監視強化
再発防止原因分析、規程改訂、教育、技術対策

重大事故では、外部弁護士、デジタルフォレンジック専門家、広報専門家、保険会社、監査法人、JPCERT/CC、警察、監督官庁との連携が必要になることがあります。次の一覧は、外部連携と公表で確認すべき点を整理します。読者にとって重要なのは、誰に依頼し、誰宛てに報告書を作成し、どこまで共有するかを事前に決めておくことです。

Expert

外部専門家

起用権限、費用承認、秘密保持、証拠保全、報告書の取扱い、法的助言との関係を定めます。

Disclosure

公表判断

発生日、判明日、対象システム、影響範囲、情報の種類、原因、対応状況、問い合わせ窓口、再発防止策を整理します。

Stakeholder

関係者対応

顧客、取引先、本人、監督官庁、警察、株主、報道機関、SNS利用者、保険会社への説明経路を分けます。

注意感染端末の電源を不用意に落とす、ログを上書きする、事実確認前に断定的な発表をする、といった行動は後の調査や法的対応を難しくします。初動時に誰が隔離、停止、保全、外部連絡を判断するかを規程に明記する必要があります。
Section 07

情報セキュリティ規程の監査と継続的改善

内部監査、策定手順、周知教育、運用開始後の見直しを一体で進めます。

情報セキュリティ規程は作成して終わりではありません。脅威、業務、法令、技術、取引先要求が変わるため、内部監査と継続的改善を前提に設計する必要があります。

次の比較表は、内部監査で確認すべき項目を示します。確認内容まで読むことが重要なのは、規程の有無ではなく、教育、権限、分類、委託先、ログ、バックアップ、事故対応、クラウド、例外管理が実際に動いているかを見るためです。

監査項目確認内容
規程整備規程、細則、手順書が最新か
周知教育教育受講率、理解度、未受講者対応
権限管理退職者、異動者、委託先の権限が残っていないか
情報分類重要情報が適切に分類、表示されているか
委託先管理契約、評価、再委託、事故報告条項があるか
ログ管理保存期間、改ざん防止、レビューが適切か
バックアップ復元テスト、分離保管、ランサムウェア対策があるか
インシデント対応訓練、連絡網、報告期限、証拠保全が機能するか
クラウド利用未承認サービス、個人アカウント利用がないか
例外管理例外承認が記録され期限管理されているか

策定手順は、現状把握から運用開始後の監査まで段階的に進めます。次の時系列は、各段階で何を確認するかを示します。順番を追うことが重要なのは、既存規程、契約、情報資産、委託先、事故履歴の確認なしに規程案だけ作ると、現場実態とずれやすいためです。

Step 1

現状把握

既存規程、契約書、情報資産、システム、委託先、事故履歴を確認し、重複、矛盾、空白を把握します。

Step 2

リスク評価

売上に直結するシステム、大量個人情報、研究開発環境、外部公開システム、委託先、海外クラウドを優先して評価します。

Step 3

規程案作成と経営承認

法務、情報システム、個人情報保護担当、内部監査、人事、総務、現場部門が協議し、残存リスクや予算措置も説明します。

Step 4

周知教育と監査

従業員、管理職、委託先に説明し、申請書、台帳、ログ、報告経路が実際に使われているかを確認します。

Section 08

情報セキュリティ規程の条項例と企業規模別対応

サンプル条項、企業規模別の優先順位、よくある不備と改善策を整理します。

条項例は、目的、適用範囲、情報分類、アクセス権限、外部サービス、委託先管理、事故報告、教育、監査、違反時措置を最低限の柱として整えます。実際に使う場合は、事業内容、法令、契約、業界基準、社内体制に応じた修正が必要です。

次の一覧は、条項例を目的別にまとめたものです。条項ごとの役割を読むことが重要なのは、禁止事項だけを並べるのではなく、承認、記録、監査、違反時対応まで含めて初めて実効性が出るためです。

Article 1-3

目的・適用範囲・情報分類

情報資産を保護し、機密性、完全性、可用性を確保する目的を明示し、役員、従業員、委託先へ同等以上の義務を課します。

Article 4-6

アクセス・外部サービス・委託先

権限付与・変更・削除の申請承認、未承認クラウドや生成AIへの入力禁止、委託先の選定・契約・削除証明を定めます。

Article 7-10

事故報告・教育・監査・違反時措置

事故または疑いの即時報告、定期教育、監査と是正措置、懲戒、契約解除、損害賠償、刑事告訴の検討を定めます。

企業規模によって、必要な深さは変わります。次の比較表は、中小企業と上場企業・大企業・規制業種で優先すべき対応の違いを示します。読者は、最初から完璧な体制を目指すよりも、重要情報、個人情報、クラウド、委託先、事故報告を優先し、事業の成長に合わせて高度化する考え方を読み取ってください。

企業区分優先対応追加対応
中小企業経営者の基本方針、情報資産と個人情報の一覧、退職時権限削除、クラウド利用ルール、委託先の秘密保持、事故報告先、バックアップ、従業員教育重要情報と事故報告に絞って着実に運用する
上場企業・大企業・規制業種CISO、CSIRT、情報セキュリティ委員会、取締役会報告、リスクアセスメント、外部認証、訓練、委託先監査、海外法令対応適時開示、監督官庁対応、フォレンジック契約、サイバー保険も検討する

よくある不備は、雛形の流用、適用範囲の曖昧さ、事故報告の遅れ、権限削除漏れ、クラウド統制不足、ログ不足、教育の形骸化、委託先契約の弱さ、残存リスクの未承認、見直し不足です。これらは、情報資産とリスク評価から再設計し、契約雛形、ID管理、承認済みサービス一覧、ログ保存期間、教育、年1回以上のレビューに結びつけます。

Section 09

情報セキュリティ規程のチェックリスト

策定・見直し時に使う確認項目を、法務・IT・監査が共有できる形で整理します。

チェックリストは、規程策定時と見直し時に、基本設計、情報分類、アクセス管理、技術的対策、法務・契約、事故対応、監査と改善を横断して確認するために使います。

次の一覧は、確認項目を領域別にまとめたものです。領域ごとに見ることが重要なのは、技術対策だけ、契約だけ、教育だけの偏りを避け、法務・IT・人事・監査が同じ基準で進捗を確認できるようにするためです。読者は、自社で未整備の項目を優先順位づけする材料として読んでください。

基本設計

基本方針と規程の分離、承認者・改訂者・主管部署、適用範囲、関連規程・委託契約との整合を確認します。

情報分類

個人データ、営業秘密、契約上の秘密情報、秘密表示、保存場所、アクセス権限、持出し制限を確認します。

アクセス管理

アカウント発行・変更・削除、退職者・異動者・委託終了者の権限削除、特権ID、多要素認証を確認します。

技術的対策

端末暗号化、マルウェア対策、OS更新、バックアップ、ログ保存、クラウド・SaaS・生成AIの利用基準を確認します。

法務・契約

委託先選定、契約、監督、終了時手続、秘密保持、再委託、事故報告、監査権、データ削除を確認します。

事故対応と改善

疑い段階での報告義務、初動窓口、証拠保全、当局報告、本人通知、内部監査、年1回以上の見直しを確認します。

情報セキュリティ規程の最終目的は、事故をゼロにすると宣言することではありません。重要なのは、合理的なリスク管理を行い、事故の発生可能性と影響を下げ、発生時には迅速に検知し、正確に対応し、法令と契約に従って説明し、再発防止につなげることです。

Guide

情報セキュリティ規程で次に確認したいこと

目的に近い詳しい解説へ進めるよう、関連するテーマを整理しました。

知りたい内容を選ぶと、手続、費用、地域、具体的な論点などの詳しい解説に進めます。

このテーマから次に確認されやすい詳しい解説を8件表示しています。

Reference

参考資料

このページの作成にあたり参照した公的資料・標準・法令を整理します。

公的機関・法令・標準

  • 経済産業省 情報セキュリティ管理基準 令和7年版
  • 経済産業省・IPA サイバーセキュリティ経営ガイドライン Ver 3.0
  • IPA 中小企業の情報セキュリティ対策ガイドライン
  • 個人情報保護委員会 個人情報の保護に関する法律についてのガイドライン 通則編
  • 個人情報保護委員会 漏えい等の対応
  • e-Gov 法令検索 個人情報の保護に関する法律
  • e-Gov 法令検索 サイバーセキュリティ基本法
  • e-Gov 法令検索 不正競争防止法
  • 経済産業省 営業秘密管理指針
  • ISO ISO/IEC 27001
  • ISMS-AC ISMS適合性評価制度
  • NIST Cybersecurity Framework 2.0
  • NISC 政府機関等のサイバーセキュリティ対策のための統一基準群
  • JPCERT/CC インシデントハンドリングマニュアル
  • IPA 組織における内部不正防止ガイドライン