2σ Guide

情報セキュリティ体制とは
企業法務・ガバナンスから見た構築実務

情報セキュリティ体制を、個人情報保護、営業秘密、内部統制、委託先管理、インシデント対応、監査の観点から横断的に整理します。

3要素機密性・完全性・可用性
4類型低減・回避・移転・受容
0〜365日段階的ロードマップ
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

情報セキュリティ体制とは 企業法務・ガバナンスから見た構築実務

情報セキュリティ体制を、個人情報保護、営業秘密、内部統制、委託先管理、インシデント対応、監査の観点から横断的に整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
情報セキュリティ体制とは 企業法務・ガバナンスから見た構築実務
情報セキュリティ体制を、個人情報保護、営業秘密、内部統制、委託先管理、インシデント対応、監査の観点から横断的に整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 情報セキュリティ体制とは 企業法務・ガバナンスから見た構築実務
  • 情報セキュリティ体制を、個人情報保護、営業秘密、内部統制、委託先管理、インシデント対応、監査の観点から横断的に整理します。

POINT 1

  • 情報セキュリティ体制の全体像をつかむ
  • 技術対策だけでなく、経営、法務、契約、監査、事故対応を一体で運用する考え方を整理します。
  • 情報セキュリティ体制は経営管理の仕組みです
  • 技術ではなく経営管理です
  • 情報資産の把握が出発点です

POINT 2

  • 情報セキュリティ体制の定義と守るべき対象
  • サイバーセキュリティ
  • ネットワーク、クラウド、端末、デジタルサービスへの攻撃対策が中心です。
  • 個人情報保護
  • 個人情報、個人データ、保有個人データ、仮名加工情報、匿名加工情報、個人関連情報などの法的枠組みです。

POINT 3

  • 情報セキュリティ体制が企業法務の問題になる理由
  • 取締役責任、個人情報保護、営業秘密、契約責任、証拠保全の観点から法務リスクを整理します。
  • 取締役・経営陣の責任
  • 個人情報保護法
  • 営業秘密管理

POINT 4

  • 2026年時点の情報セキュリティ体制に関わる脅威
  • ランサムウェア
  • 暗号化、情報公開の脅迫、バックアップ破壊、認証情報悪用、業務停止が重なります。
  • サプライチェーン攻撃
  • 委託先、子会社、保守ベンダー、SaaS、ソフトウェア部品、VPN機器、リモートメンテナンス経路が侵入口になります。

POINT 5

  • 情報セキュリティ体制の組織と役割分担
  • 経営陣、取締役会、CISO、法務、内部監査、情報システム、CSIRTの役割を整理します。
  • 情報セキュリティ体制の最終責任は経営にあります。
  • なぜ重要かというと、事故時には技術対応、法務判断、広報、労務、経営判断が同時に必要になり、責任の空白が混乱を生むためです。
  • 各行から、平時に決めておくべき権限と報告ラインを読み取ってください。

POINT 6

  • 情報セキュリティ体制を支える規程体系
  • 基本方針、基本規程、個別規程、手順書、証跡様式を階層化して運用します。
  • 重要なのは、文書名の整備だけでなく、担当者が実行できる手順と、実施を証明する記録までつなげることです。
  • 表から、自社で不足している階層を読み取ってください。
  • 次の比較一覧は、整備すべき個別規程の典型例を示しています。

POINT 7

  • 情報セキュリティ体制のリスクマネジメント実務
  • 情報資産の棚卸し、リスク評価、対応方針、KPI・KRIを使って経営管理に落とし込みます。
  • 情報セキュリティ体制の第一歩は、情報資産の棚卸しです。
  • 何を持っているかが分からなければ、守るべき対象、法的義務、委託先管理、事故時の影響範囲を判断できません。
  • 各列から、事故時に影響範囲を説明できるかを読み取ってください。

POINT 8

  • 情報セキュリティ体制で実装すべき管理策
  • 組織的、人的、物理的、技術的な安全管理措置と、データ分類、ログ、復旧、生成AI管理を整理します。
  • 管理策は、組織的、人的、物理的、技術的な安全管理措置に分けて考えると整理しやすくなります。
  • 法務上は、誰が決め、誰が実施し、誰が確認し、誰が承認したかを証跡として残すことが重要です。
  • 各項目から、自社で実装済みのものと未整備のものを読み取ってください。

まとめ

  • 情報セキュリティ体制とは 企業法務・ガバナンスから見た構築実務
  • 情報セキュリティ体制の全体像をつかむ:技術対策だけでなく、経営、法務、契約、監査、事故対応を一体で運用する考え方を整理します。
  • 情報セキュリティ体制の定義と守るべき対象:機密性、完全性、可用性を起点に、情報セキュリティ体制が何を統合するのかを確認します。
  • 情報セキュリティ体制が企業法務の問題になる理由:取締役責任、個人情報保護、営業秘密、契約責任、証拠保全の観点から法務リスクを整理します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

情報セキュリティ体制の全体像をつかむ

技術対策だけでなく、経営、法務、契約、監査、事故対応を一体で運用する考え方を整理します。

情報セキュリティ体制は、ウイルス対策ソフトやファイアウォールの有無だけを指すものではありません。経営者の責任の下で情報資産に関するリスクを特定し、法令、契約、社会的要請に照らして許容できる水準まで管理し、予防、監視、教育、監査、委託先管理、インシデント対応、事後検証を継続するための組織的な仕組みです。

このページでは、情報セキュリティ体制を企業法務、個人情報保護、営業秘密管理、内部統制、IT統制、サプライチェーン管理、インシデント対応、監査、訴訟・不祥事対応の観点から横断的に整理します。一般的な情報提供であり、個別案件の法的助言ではありません。具体的な規程整備、契約交渉、当局報告、訴訟対応などは、事案に応じて弁護士、情報セキュリティ専門家、個人情報保護の専門家、公認会計士、社会保険労務士、弁理士、デジタルフォレンジック専門家などに相談する必要があります。

次の強調欄は、情報セキュリティ体制の中心にある考え方を表しています。読者にとって重要なのは、個別のツール名ではなく、守る情報、責任者、運用記録、改善サイクルがつながっているかを読み取ることです。

情報セキュリティ体制は経営管理の仕組みです

守るべき情報を特定し、リスクを評価し、規程・契約・技術・教育・監査・インシデント対応を一体として運用し、証跡を残しながら継続的に改善します。

次の一覧は、実務上の六つの重要視点を並べたものです。なぜ重要かというと、体制整備の優先順位を誤ると、ツール導入だけで説明責任を果たせないためです。各項目から、経営、情報資産、法的性質、外部連携、事故対応、改善のどこに弱点が出やすいかを読み取ってください。

Point 01

技術ではなく経営管理です

情報セキュリティ体制は、経営リスク、顧客信頼、法令遵守、事業継続、企業価値保全を扱う管理体制です。

Point 02

情報資産の把握が出発点です

何を守るかが不明なままでは、責任の所在、影響範囲、説明責任を明確にできません。

Point 03

情報ごとに法的性質が異なります

個人情報、営業秘密、知財、決算情報、顧客データ、従業員情報、認証情報、ログでは管理要件が変わります。

Point 04

外部サービスまで含めます

委託先、再委託先、クラウド、SaaS、M&A対象会社、海外拠点、生成AIサービスも管理対象に含めます。

Point 05

事故対応は事前に決めます

意思決定者、連絡経路、証拠保全、当局報告、本人通知、広報方針、復旧基準を平時から定めます。

Point 06

監査と改善で防御力が生まれます

訓練、記録、監査、是正がなければ、体制は形だけに見えやすく、法務上の説明力も弱くなります。

Section 01

情報セキュリティ体制の定義と守るべき対象

機密性、完全性、可用性を起点に、情報セキュリティ体制が何を統合するのかを確認します。

情報セキュリティとは、情報と情報システムを不正アクセス、不正利用、漏えい、改ざん、破壊、停止、紛失、誤送信、内部不正、サイバー攻撃、自然災害、人的ミスなどから保護するための考え方と実務です。国際的には、機密性、完全性、可用性の三要素を保護するものとして理解されます。

次の表は、情報セキュリティの三要素を法務・実務の例に引き寄せて整理したものです。重要なのは、漏えいだけでなく、改ざんやシステム停止も法務・監査・事業継続上の問題になる点です。各行から、どの情報や記録にどの保護目的が関係するかを読み取ってください。

要素意味法務・実務上の例
機密性権限のない者が情報を見られない状態です。顧客名簿、営業秘密、未公表決算情報、個人情報、取引先との秘密保持情報をアクセス制御、暗号化、秘密表示で守ります。
完全性情報が正確で、改ざん、欠落、不正変更がない状態です。契約書、会計データ、ログ、品質記録、電子署名、承認履歴の真正性を保ちます。
可用性必要なときに情報やシステムを利用できる状態です。ランサムウェア、DDoS、システム障害、災害時にも業務継続と復旧ができるようにします。

情報セキュリティ体制は、次の構成要素を統合した管理体制です。この整理が重要なのは、IT部門だけでは扱い切れない統治、契約、証拠、説明責任まで含めて設計する必要があるためです。表から、各要素がどの部門や文書、運用記録と結びつくかを確認してください。

構成要素内容
ガバナンス取締役会と経営陣が情報セキュリティを経営課題として監督します。
リスク管理情報資産、脅威、脆弱性、影響度を評価し、対応方針を決めます。
規程・方針情報セキュリティ基本方針、個人情報保護規程、営業秘密管理規程、クラウド利用規程などを整備します。
組織・役割CISO、情報システム部門、法務、コンプライアンス、内部監査、事業部門、CSIRTなどの役割を明確にします。
管理策アクセス制御、MFA、暗号化、ログ管理、教育、入退室管理、媒体管理などを組み合わせます。
契約・委託先管理NDA、委託契約、SLA、監査権、再委託、事故通知、データ返却・消去などを設計します。
インシデント対応検知、初動、封じ込め、復旧、当局報告、本人通知、広報、証拠保全、再発防止を運用します。
監査・改善内部監査、外部監査、脆弱性診断、訓練、経営レビューで改善を続けます。

次の一覧は、近い概念との違いを示しています。読者にとって重要なのは、サイバー攻撃対策、個人情報保護、内部統制、BCPを別々に扱うのではなく、重なりを意識して管理範囲を決めることです。各項目から、どこまでが情報セキュリティ体制に含まれるかを読み取ってください。

サイバーセキュリティ

ネットワーク、クラウド、端末、デジタルサービスへの攻撃対策が中心です。情報セキュリティは紙媒体、口頭情報、人的管理、契約管理も含みます。

個人情報保護

個人情報、個人データ、保有個人データ、仮名加工情報、匿名加工情報、個人関連情報などの法的枠組みです。

内部統制

業務の有効性、財務報告の信頼性、法令遵守、資産保全を支える会社全体の統制です。

BCP

災害、事故、感染症、サイバー攻撃、システム障害が起きても重要業務を継続・復旧する計画です。

Section 03

2026年時点の情報セキュリティ体制に関わる脅威

ランサムウェア、サプライチェーン、生成AI、既知脆弱性、内部不正を経営リスクとして捉えます。

近年の脅威環境では、攻撃者がシステム停止、情報窃取、二重恐喝、委託先経由の侵入、クラウド設定ミス、生成AI利用、退職者による持出しなどを組み合わせます。法務・経営の観点では、技術的な侵害だけでなく、報告義務、契約違反、営業秘密流出、レピュテーション、復旧費用まで見ます。

次の一覧は、2026年時点で特に意識したい脅威を整理したものです。なぜ重要かというと、体制が自社システムだけを見ていると、委託先、SaaS、AI、退職者といった経路を見落とすためです。各項目から、予防策と事故時対応をどこまで準備するかを読み取ってください。

ランサムウェア

暗号化、情報公開の脅迫、バックアップ破壊、認証情報悪用、業務停止が重なります。復旧訓練、権限分離、MFA、EDR、ログ監視、BCPとの接続が重要です。

サプライチェーン攻撃

委託先、子会社、保守ベンダー、SaaS、ソフトウェア部品、VPN機器、リモートメンテナンス経路が侵入口になります。

AI・生成AI

秘密情報・個人情報の入力、学習利用、誤った出力、著作権・営業秘密侵害、プロンプトインジェクション、シャドーAIが論点になります。

既知脆弱性の悪用

未更新VPN、公開サーバー、クラウド設定ミス、弱い認証、放置アカウント、公開された認証情報が悪用されます。

内部不正・退職者リスク

従業員、役員、派遣社員、委託先、退職者、競業先への転職者による持出しが起き得ます。

次の表は、脅威ごとに法務・ガバナンス上の確認ポイントをまとめています。重要なのは、技術部門だけでなく、法務、人事、購買、広報、経営も判断に加わる点です。表から、各脅威で準備すべき規程、契約、証跡、意思決定を読み取ってください。

脅威法務・ガバナンス上の確認ポイント
ランサムウェア個人情報漏えい等報告、取引先通知、秘密保持契約、営業秘密、サイバー保険、警察・専門機関との連携を確認します。
サプライチェーン選定基準、セキュリティ調査、契約条項、再委託承認、事故通知、監査権、終了後アクセス削除を確認します。
生成AI利用可能サービス、入力禁止情報、契約審査、ログ、教育、外部送信、個人情報保護、著作権、営業秘密を確認します。
既知脆弱性資産台帳、外部公開資産、パッチ方針、緊急対応、例外承認、代替策、証跡化を確認します。
内部不正最小権限、職務分掌、アクセスログ、媒体制限、退職時面談、誓約書、貸与物返却、懲戒規程を確認します。
Section 04

情報セキュリティ体制の組織と役割分担

経営陣、取締役会、CISO、法務、内部監査、情報システム、CSIRTの役割を整理します。

情報セキュリティ体制の最終責任は経営にあります。経営陣は、情報セキュリティをコストではなく、事業継続、顧客信頼、法令遵守、競争優位、企業価値保全のための投資として位置づけます。

次の表は、主要な担当者と役割を整理したものです。なぜ重要かというと、事故時には技術対応、法務判断、広報、労務、経営判断が同時に必要になり、責任の空白が混乱を生むためです。各行から、平時に決めておくべき権限と報告ラインを読み取ってください。

主体主な役割
経営陣基本方針、責任者、重要リスク、予算、推進体制、インシデント時の意思決定権限、監査・訓練・是正状況を承認・確認します。
取締役会・監査役・社外取締役情報セキュリティ体制を経営リスクとして監督し、リスク状況、対策状況、インシデント、監査結果、予算・人員、法令・規制を報告対象にします。
CISO・情報セキュリティ責任者戦略・計画、リスク評価、規程体系、教育、事故対応体制、委託先・クラウド・SaaS管理、監査・診断・訓練、経営報告を担います。
法務部門・企業内弁護士個人情報保護法、営業秘密、業法、海外法令、規程レビュー、契約審査、当局報告、証拠保全、内部調査、M&A対応に関与します。
コンプライアンス部門法令・規程遵守、教育、内部通報、違反対応を担当します。
内部監査部門台帳、権限、退職者管理、委託先契約、バックアップ、訓練、例外承認などの実効性を独立して評価します。
情報システム部門・SOC・CSIRT日常運用、システム設計、アクセス管理、脆弱性管理、監視、復旧、クラウド管理、インシデント対応の司令塔機能を担います。

次の一覧は、三線モデルによる責任分担を示しています。読者にとって重要なのは、事業部門がリスクを実行面で管理し、第2線が方針と助言を担い、第3線が独立評価を行う点です。どの線に責任が寄りすぎているかを読み取ってください。

1st Line

第1線

事業部門、情報システム部門、プロダクト部門が、業務内でリスクを管理し、規程を実行します。

2nd Line

第2線

法務、コンプライアンス、リスク管理、CISO部門、個人情報保護担当が、方針、規程、助言、モニタリング、教育を担います。

3rd Line

第3線

内部監査が、独立した立場で有効性を評価し、経営陣、取締役会、監査役等へ報告します。

Section 05

情報セキュリティ体制を支える規程体系

基本方針、基本規程、個別規程、手順書、証跡様式を階層化して運用します。

情報セキュリティ体制では、規程を一つ作って終わりにすると運用が止まりやすくなります。基本方針、基本規程、個別規程、手順書、チェックリスト、証跡様式を階層化し、社内規程、契約、システム設定、業務フローを一致させます。

次の表は、規程体系の階層と目的を表しています。重要なのは、文書名の整備だけでなく、担当者が実行できる手順と、実施を証明する記録までつなげることです。表から、自社で不足している階層を読み取ってください。

階層文書例目的
方針情報セキュリティ基本方針経営方針、適用範囲、責任、基本原則を示します。
基本規程情報セキュリティ管理規程組織、役割、リスク評価、資産管理、教育、監査、事故対応を定めます。
個別規程アクセス管理規程、クラウド利用規程、リモートワーク規程など特定領域のルールを具体化します。
手順書インシデント初動手順、退職者アカウント削除手順など担当者が実行する手順を明確にします。
証跡様式点検表、承認申請、委託先評価票、教育記録など実施したことを後から説明できるようにします。

次の比較一覧は、整備すべき個別規程の典型例を示しています。なぜ重要かというと、個人情報、営業秘密、クラウド、リモートワーク、生成AI、ログ、バックアップでは管理の粒度が異なるためです。各項目から、会社の業種やデータ量に応じて優先する規程を読み取ってください。

規程主な内容
情報資産管理規程情報資産の分類、台帳、責任者、保存・廃棄を定めます。
個人情報保護規程取得、利用、保管、委託、第三者提供、漏えい対応、開示請求を定めます。
営業秘密管理規程秘密指定、表示、アクセス制限、持出し、退職時管理を定めます。
アクセス管理規程ID発行、権限付与、棚卸し、特権ID、退職者削除を定めます。
クラウド・SaaS利用規程利用承認、契約審査、データ所在、設定、ログ、退会を定めます。
生成AI利用規程入力禁止情報、利用可能サービス、出力確認、ログ、著作権・秘密情報を定めます。
インシデント対応規程重大度分類、報告経路、初動、証拠保全、外部報告、再発防止を定めます。
委託先管理規程選定、契約、監査、再委託、事故通知、終了時管理を定めます。
ログ管理規程取得対象、保存期間、閲覧権限、改ざん防止、監査利用を定めます。
バックアップ・復旧規程対象、頻度、保存場所、復旧目標、復旧訓練を定めます。
脆弱性管理規程資産把握、パッチ適用、緊急対応、例外承認を定めます。
物理的セキュリティ規程入退室、施錠、媒体、廃棄、来訪者管理を定めます。
整合性規程で監査権や事故通知を定めても、委託契約に同じ権利・義務がなければ実行しにくくなります。規程、契約、SaaS約款、業務フロー、システム設定を一緒に確認します。
Section 06

情報セキュリティ体制のリスクマネジメント実務

情報資産の棚卸し、リスク評価、対応方針、KPI・KRIを使って経営管理に落とし込みます。

情報セキュリティ体制の第一歩は、情報資産の棚卸しです。何を持っているかが分からなければ、守るべき対象、法的義務、委託先管理、事故時の影響範囲を判断できません。

次の表は、情報資産台帳に含める項目を示しています。重要なのは、保存場所やアクセス権限だけでなく、利用目的、委託・第三者提供、保存期間、重要度、管理策まで同じ台帳で把握することです。各列から、事故時に影響範囲を説明できるかを読み取ってください。

項目
情報資産名顧客DB、従業員情報、設計図、ソースコード、会計データです。
保有部門営業部、人事部、開発部、経理部などです。
情報区分個人情報、営業秘密、機密情報、公開情報などです。
保存場所社内サーバー、クラウド、SaaS、PC、紙媒体、外部委託先です。
アクセス権限管理者、一般利用者、外部委託先、閲覧のみなどを区別します。
委託・第三者提供委託先名、再委託、提供先、国外移転を把握します。
重要度・管理策機密性、完全性、可用性で評価し、暗号化、MFA、ログ、バックアップ、持出し制限を紐づけます。

次の比較一覧は、リスク評価で見るべき影響軸を整理しています。なぜ重要かというと、技術的な被害だけでは経営判断に必要な影響を把握できないためです。各軸から、法令、契約、事業、財務、信用、証拠のどこに影響が出るかを読み取ってください。

評価軸確認事項
法令影響個人情報保護法、業法、海外法令、開示規制への影響を確認します。
契約影響NDA、委託契約、SLA、顧客契約、公共調達契約への影響を確認します。
事業影響売上停止、納期遅延、顧客離反、生産停止、サービス停止を確認します。
財務影響復旧費用、調査費用、損害賠償、違約金、売上減少を確認します。
信用影響報道、SNS、顧客信頼、採用、株価、取引審査を確認します。
証拠影響原因調査、ログ、訴訟証拠、監査証跡への影響を確認します。

次の表は、リスク対応の四類型を示しています。読者にとって重要なのは、高リスクの例外や受容を現場判断にせず、期限、代替策、承認者、再評価日を記録することです。各類型から、どの判断を経営判断として扱うかを読み取ってください。

類型内容
低減管理策を導入してリスクを下げます。MFA、EDR、暗号化、教育、監査です。
回避リスクの高い活動をやめます。無承認SaaS利用禁止、危険な外部共有禁止です。
移転契約・保険などでリスクの一部を移します。サイバー保険、補償条項、委託先責任です。
受容残存リスクを経営判断として受け入れます。代替策を講じたうえで例外承認します。

次の横棒グラフは、経営報告で扱いやすい指標分野を、運用の重要度イメージとして整理したものです。重要なのは、実施状況を示すKPIと危険の高まりを示すKRIを分けて見ることです。棒が長い項目ほど、初期段階から経営会議に載せやすい指標として読み取ってください。

教育
アクセス管理
脆弱性管理
監視・検知
委託先管理
指標分野の優先度イメージです。教育受講率、退職者アカウント削除日数、重大脆弱性の修正期間、検知から一次対応までの時間、委託先評価完了率などを組み合わせます。
Section 07

情報セキュリティ体制で実装すべき管理策

組織的、人的、物理的、技術的な安全管理措置と、データ分類、ログ、復旧、生成AI管理を整理します。

管理策は、組織的、人的、物理的、技術的な安全管理措置に分けて考えると整理しやすくなります。法務上は、誰が決め、誰が実施し、誰が確認し、誰が承認したかを証跡として残すことが重要です。

次の一覧は、主要な管理策を実務の観点でまとめたものです。なぜ重要かというと、技術対策だけでなく、教育、誓約、入退室、契約、ログ、復旧が一体になって初めて説明可能な体制になるためです。各項目から、自社で実装済みのものと未整備のものを読み取ってください。

01

組織的安全管理措置

責任者、規程整備、情報資産台帳、リスク評価、承認手続、監査、インシデント報告、委託先管理、記録保存を整えます。

責任証跡
02

人的安全管理措置

教育、誓約書、職務分掌、入社時確認、退職時確認、懲戒、内部通報を整えます。役割別の教育が有効です。

教育退職者
03

物理的安全管理措置

入退室管理、紙文書、媒体、廃棄、覗き見防止、テレワーク環境、来訪者管理を整えます。

入退室媒体
04

技術的安全管理措置

ID・アクセス管理、端末管理、ネットワーク、クラウド、メール、ログ、脆弱性、バックアップ、暗号化、DLP、開発セキュリティを整えます。

MFAログ

次の表は、技術的管理策の実務ポイントを整理しています。重要なのは、法務部門も基本概念を理解し、契約条項、報告、本人通知、証拠保全、取締役会報告に反映できるようにすることです。各行から、法務と情報システムが共有すべき確認事項を読み取ってください。

管理策実務上のポイント
ID・アクセス管理最小権限、MFA、特権ID管理、退職者削除、権限棚卸しを行います。
端末管理EDR、暗号化、MDM、パッチ、紛失時ワイプ、私物端末制限を行います。
ネットワーク管理セグメンテーション、VPN、ゼロトラスト、外部公開資産管理を行います。
クラウド管理設定監査、管理者権限、ログ、データ所在、外部共有制限を行います。
メール対策SPF、DKIM、DMARC、フィッシング対策、添付ファイル制御を行います。
ログ管理取得対象、保存期間、改ざん防止、相関分析、閲覧権限を定めます。
脆弱性管理資産把握、スキャン、パッチ、緊急対応、例外管理を行います。
バックアップオフライン・イミュータブル、世代管理、復旧訓練を検討します。
暗号化・DLP保存時・通信時暗号化、鍵管理、媒体暗号化、外部送信や印刷の制御を行います。
開発セキュリティセキュア設計、コードレビュー、脆弱性診断、秘密情報の埋込み防止を行います。

次の表は、データ分類と管理策の対応を示しています。なぜ重要かというと、すべての情報を同じ水準で管理すると過大または過少な管理になりやすいためです。各区分から、情報の重要度に応じてアクセス制限や監視を強める考え方を読み取ってください。

区分管理策
公開情報Web掲載資料、公開IR資料正確性確認、改ざん防止、公開承認を行います。
社内限定情報社内連絡、一般業務資料社内アクセス制限、外部共有禁止を行います。
機密情報顧客情報、価格表、契約書、経営資料アクセス制限、持出し制限、ログ、NDAを組み合わせます。
特に重要な機密情報営業秘密、M&A、未公表決算、ソースコード、大量個人データ厳格な権限管理、暗号化、監視、印刷・ダウンロード制限、承認制を検討します。

次の表は、バックアップ復旧で使うRTOとRPOを整理しています。読者にとって重要なのは、すべてのシステムを同じ目標にするのではなく、重要業務、法定報告、顧客影響、契約上のSLA、社会的影響で優先順位を決めることです。二つの用語から、復旧時間と復旧データ時点の違いを読み取ってください。

用語意味
RTOどれくらいの時間で復旧するかという目標です。
RPOどの時点までのデータを復旧できればよいかという目標です。

次の表は、生成AI利用管理で明確にする項目を示しています。重要なのは、一律禁止だけではシャドーAIを招きやすく、承認済み環境、入力禁止情報、契約審査、ログ、教育を組み合わせる必要がある点です。各行から、AI利用を情報セキュリティ体制に組み込む観点を読み取ってください。

項目内容
利用可能サービス会社が承認したサービスのみを使うかを決めます。
入力禁止情報個人情報、営業秘密、未公表情報、顧客情報、認証情報などを定めます。
契約審査入力データの学習利用、保存、第三者提供、国外移転、ログを確認します。
出力確認正確性、権利侵害、差別・偏見、機密混入を人が確認します。
開発利用コード生成、脆弱性、ライセンス、秘密情報埋込みを確認します。
監査利用ログ、部門別利用状況、違反対応を確認します。
Section 08

情報セキュリティ体制とサプライチェーン・委託先管理

委託先選定、契約、運用、事故対応、終了時管理、SaaS、M&Aまでライフサイクルで設計します。

委託先管理は、情報セキュリティ体制の中でも法務関与が大きい領域です。契約締結時だけでなく、選定前、契約交渉、運用中、再委託、事故発生時、契約終了時まで一連のライフサイクルとして設計します。

次の時系列は、委託先管理の各段階を表しています。なぜ重要かというと、事故発生時だけでなく、選定や終了時の管理不足が情報漏えいの原因になるためです。順番から、各段階で取得すべき確認資料と契約条項を読み取ってください。

選定前

委託内容と情報の重要度を整理します

取り扱う情報、法令要件、重要システム、外部アクセス、再委託の可能性を確認します。

審査

体制と過去事故を確認します

セキュリティ質問票、認証、監査報告書、過去事故、組織体制を確認します。

契約

必要条項を契約に入れます

秘密保持、個人情報、再委託、監査、事故通知、返却・消去を定めます。

運用

変更と権限を確認します

定期点検、変更管理、権限管理、SLA確認、教育確認を行います。

事故時

共同で調査・通知します

速報、証拠保全、共同調査、本人・当局対応、原因究明を行います。

終了時

データと権限を閉じます

データ返却・消去、アカウント削除、証明書取得、媒体返却を確認します。

次の表は、委託先のリスク分類を表しています。重要なのは、すべての委託先に同じ調査を行うのではなく、扱う情報や権限に応じて管理水準を変えることです。分類ごとに、調査票、監査権、定期報告の厚みを読み取ってください。

分類管理水準
高リスク大量個人データ、決済情報、基幹システム、管理者権限、営業秘密を扱う委託先です。詳細審査、契約条項、監査権、定期報告、訓練参加を求めます。
中リスク一部の業務情報、限定的な個人情報、社内SaaSです。標準質問票、契約条項、年次確認を行います。
低リスク公開情報のみ、限定的業務支援です。簡易審査、基本契約、秘密保持を確認します。

次の一覧は、契約条項で定めるべき事項をまとめています。読者にとって重要なのは、雛形を入れるだけではなく、委託内容、情報の性質、再委託、クラウド、海外移転、事故時協力に応じて調整することです。各項目から、交渉で落としやすい論点を読み取ってください。

Scope

情報と利用目的

取り扱う情報の範囲、利用目的の限定、安全管理措置、アクセス権限管理を定めます。

Subcontract

再委託

再委託の可否、事前承認、再委託先管理、同等義務、責任関係を定めます。

Incident

事故通知と協力

通知期限、通知内容、調査協力、証跡提供、脆弱性対応を定めます。

Audit

監査・報告

監査権、報告権、第三者監査報告、セキュリティ認証の提出を定めます。

Exit

返却・消去

契約終了後のデータ返却、消去、消去証明、媒体返却、アカウント削除を定めます。

Cloud

クラウド・SaaS

データ保存場所、サポートアクセス、ログ、SLA、解約時データ取得、準拠法、裁判管轄を確認します。

M&Aでは、対象会社の情報セキュリティ体制が企業価値に影響します。過去事故、個人情報保護、営業秘密、IT資産、クラウド・SaaS台帳、重要システム、委託先、退職者管理、OSS・ソースコード、脆弱性、バックアップ、BCP、顧客契約上の義務、買収後の是正費用を確認します。

Section 09

情報セキュリティ体制におけるインシデント対応

初動連絡、重大度分類、証拠保全、報告・通知、復旧、再発防止を事前に設計します。

情報セキュリティインシデントが発生した後に、責任者、連絡先、ログ保全、外部専門家、本人通知、広報を考えていては対応が遅れます。インシデント対応体制は、平時から設計し、訓練し、更新する必要があります。

次の判断の流れは、初動対応の大まかな順序を表しています。なぜ重要かというと、初動でログを上書きしたり、影響範囲が不明なまま断定したりすると、後の調査、報告、交渉が難しくなるためです。順番から、証拠保全と法的判断をどの段階で入れるかを読み取ってください。

インシデント初動の判断の流れ

検知・通報

従業員、監視、委託先、顧客、外部機関から情報を受けます。

一次判定・重大度分類

対象システム、影響情報、件数、外部流出のおそれを確認します。

CSIRT招集・証拠保全

ログ、端末、メール、チャット、クラウド記録を保全します。

影響範囲調査・封じ込め

感染範囲、漏えい範囲、アカウント悪用、委託先関係を確認します。

報告対象の可能性あり
法的報告・通知を準備

当局、本人、取引先、保険会社への報告要否を確認します。

影響限定の可能性あり
調査継続・記録化

判断根拠を残し、追加事実が出た場合に再評価します。

復旧・原因究明・再発防止

復旧基準に沿って再開し、経営報告と監査対応につなげます。

次の表は、重大インシデント時に法務部門が直ちに確認する項目を示しています。重要なのは、技術調査と並行して、報告期限、契約通知、証拠保全、広報、労務、損害を管理することです。各行から、初動会議の議題を読み取ってください。

項目確認内容
法令報告個人情報保護委員会、業法上の監督官庁、証券取引所等への報告要否を確認します。
本人通知本人への通知要否、方法、内容、時期を確認します。
契約通知顧客、委託元、共同事業者、保険会社への通知義務を確認します。
証拠保全ログ、端末、メール、チャット、クラウド記録、契約書を保全します。
秘密保持調査情報の共有範囲、外部専門家とのNDA、調査資料の管理を確認します。
広報公表文、FAQ、問い合わせ窓口、報道対応を確認します。
労務内部不正の疑い、ヒアリング、懲戒、退職者対応を確認します。
損害損害賠償、補償、サイバー保険、費用負担を確認します。

個人データの漏えい等が発生した場合は、報告対象となる事態かを速やかに判断します。要配慮個人情報、財産的被害のおそれ、不正目的、件数などの類型、本人通知、委託元・委託先の役割、外国にある第三者やクラウドの関係、速報・確報の期限を管理します。

ランサムウェア対応では、システム停止、優先復旧、顧客・取引先通知、警察・専門機関への相談、個人情報漏えい等報告、情報公開、身代金要求への対応方針、サイバー保険、役員会・取締役会報告が問題になります。身代金要求への対応は、法令、制裁、反社会的勢力、保険、証拠保全、再攻撃リスクを含めて慎重に検討します。

初動注意ログの上書き、端末の不用意な再起動、証拠削除、影響範囲が不明な段階での断定的発表、口頭だけの委託先依頼、当局報告期限の見落としは避けます。
Section 10

情報セキュリティ体制の監査・認証・第三者評価

ISMS、NIST CSF、CIS Controls、内部監査、外部診断、監査証跡を使って実効性を確認します。

ISMSは、情報セキュリティをリスクマネジメントとして継続的に運用する枠組みです。ISO/IEC 27001およびJIS Q 27001は代表的な規格であり、一定の範囲についてマネジメントシステムが要求事項に適合していることを第三者が審査します。ただし、認証範囲外の業務、子会社、委託先、クラウド、開発環境、海外拠点まですべて説明できるわけではありません。

次の一覧は、監査・評価で活用する枠組みと確認方法をまとめています。なぜ重要かというと、認証取得や診断結果の入手だけでは十分ではなく、対象範囲、是正期限、経営報告、証跡化まで確認する必要があるためです。各項目から、どの評価を何のために使うかを読み取ってください。

ISMS

ISMS認証

適用範囲を確認し、対象外の業務や委託先、クラウドが残っていないかを見ます。

Framework

NIST CSF・CIS Controls

識別、防御、検知、対応、復旧、ガバナンス、アクセス制御、教育、サプライチェーン管理の整理に使えます。

Audit

内部監査

規程どおりの運用、台帳更新、権限棚卸し、委託先契約、復旧訓練、例外承認を確認します。

Assessment

外部監査・診断

脆弱性診断、ペネトレーションテスト、レッドチーム演習で内部では見落としやすい弱点を確認します。

次の表は、内部監査で確認しやすい項目を示しています。重要なのは、チェックリストを埋めるだけではなく、実効性を確認することです。各行から、規程と現場運用のずれをどこで発見するかを読み取ってください。

監査項目確認の観点
情報資産台帳存在し、更新され、重要情報と保存場所が実態に合っているかを確認します。
個人情報・営業秘密表示、アクセス制限、保管、委託、持出し、削除が運用されているかを確認します。
アクセス権限権限棚卸し、退職者アカウント削除、特権ID管理が行われているかを確認します。
委託先契約必要なセキュリティ条項、事故通知、監査権、再委託、返却・消去があるかを確認します。
クラウド利用承認状況、管理者権限、ログ、外部共有、データ所在が確認されているかを見ます。
脆弱性・バックアップ更新状況、診断結果、是正、復旧訓練、復旧可否を確認します。
教育・訓練受講率、標的型メール訓練、インシデント訓練、改善記録を確認します。
例外承認承認者、期限、代替策、再評価日が記録されているかを確認します。

次の表は、監査証跡として残すべきものを示しています。読者にとって重要なのは、体制の存在を後から説明できる形で記録することです。各項目から、取締役会、監査、訴訟、当局対応で提示しやすい資料を読み取ってください。

証跡残す理由
議事録取締役会、経営会議、情報セキュリティ委員会での監督と意思決定を示します。
台帳・評価表情報資産台帳、リスク評価表、委託先評価票で現状把握と判断根拠を示します。
規程改定履歴脅威、法令、事業内容の変化に応じて改善したことを示します。
教育・権限記録教育受講、権限申請、承認、棚卸し、退職者削除の実施を示します。
診断・訓練記録脆弱性診断、是正、バックアップ復旧訓練、インシデント訓練の結果を示します。
事故対応記録発見、判断、連絡、保全、復旧、再発防止、経営報告の過程を示します。
Section 11

中小企業・成長企業の情報セキュリティ体制ロードマップ

0〜30日、31〜90日、91〜180日、181〜365日の順で優先順位を決めます。

中小企業や成長企業では、専門人材、予算、時間が限られます。大企業と同じ体制を一度に作るのではなく、自社の規模とリスクに応じて優先順位をつけて実装することが現実的です。

次の時系列は、1年以内に情報セキュリティ体制を立ち上げる順番を表しています。なぜ重要かというと、初期段階では完璧な規程よりも、責任者、台帳、MFA、バックアップ、連絡網のような事故防止と初動に直結する対策が効くためです。順番から、今すぐ着手する項目と次段階で制度化する項目を読み取ってください。

0〜30日

現状把握と最低限の事故防止

責任者、重要システム、クラウド、SaaS、個人情報、営業秘密、管理者アカウント、MFA、バックアップ、連絡網、基本教育を確認します。

31〜90日

規程と運用を整えます

基本方針、個人情報保護規程、委託先管理規程、情報資産台帳、SaaS台帳、委託先台帳、契約雛形、ログ、退職者チェックリスト、初動手順を整備します。

91〜180日

監査と改善を始めます

重要情報資産のリスク評価、権限棚卸し、高リスク委託先評価、脆弱性診断、復旧訓練、内部監査または外部レビュー、経営報告を行います。

181〜365日

継続的改善のサイクルを作ります

年間計画、CSIRT、外部専門家契約、ISMSやPマークの検討、KPI・KRI、サプライチェーン管理、AI管理、BCP統合を進めます。

次の表は、早期に整備したい最低限の対策を整理しています。重要なのは、限られたリソースでも事故の発生可能性と初動の混乱を下げることです。各行から、実装の優先順位を読み取ってください。

優先対策実施内容
責任者経営者が情報セキュリティ責任者を決めます。
情報資産把握重要アカウント、個人情報、営業秘密、重要データの所在を把握します。
MFAメール、クラウド、管理者権限、VPNに導入します。
退職者管理退職者アカウントを速やかに削除し、貸与物と秘密情報を確認します。
バックアップ重要データのバックアップを取り、復旧できるか確認します。
更新管理OS、ソフトウェア、VPNなどを更新します。
教育フィッシング、持出し、誤送信、生成AI利用の基本教育を行います。
委託先契約秘密保持、事故通知、再委託、返却・消去を確認します。
インシデント連絡社内外連絡先と個人情報漏えい等報告の判断手順を用意します。
Section 12

情報セキュリティ体制で使う契約・規程・取締役会資料

基本方針、委託契約、初動報告、取締役会報告、営業秘密管理チェックを実務資料に落とし込みます。

実務資料は、そのまま使うためではなく、自社の業種、規模、委託内容、個人情報の有無、海外移転、業法、取引先要求に合わせて調整するための土台です。大切なのは、抽象的な理念だけではなく、誰が何を確認し、どの記録を残すかまで落とし込むことです。

次の表は、基本方針に含める骨子を示しています。なぜ重要かというと、経営者の責任、適用範囲、法令・契約遵守、教育、事故対応、継続的改善を明文化することで、社内外に体制の基礎を示せるためです。各行から、公開用と社内運用用でどこまで書き分けるかを読み取ってください。

項目記載の方向性
目的顧客、取引先、従業員その他関係者の情報資産を保護し、事業継続、法令遵守、社会的信頼の維持を図ります。
適用範囲役員、従業員、派遣社員、業務委託先など、情報資産を取り扱う者を対象にします。
管理体制情報セキュリティ責任者を置き、資産管理、リスク評価、教育、監査、事故対応を推進します。
法令等の遵守個人情報保護法、不正競争防止法、関連業法、契約上の義務、社内規程を遵守します。
継続的改善脅威動向、法令改正、事業内容の変化に応じて定期的に点検し、改善します。

次の比較一覧は、委託契約のセキュリティ条項に含める論点を表しています。読者にとって重要なのは、受託者の安全管理措置、事故通知、再委託、監査、終了時返却・消去を、委託業務の内容と情報の重要度に合わせて調整することです。各項目から、契約交渉で確認すべき条項を読み取ってください。

条項確認する内容
安全管理措置委託業務の内容、情報の性質、リスクに応じた合理的な措置を求めます。
事故通知インシデントまたはそのおそれを認識した場合の通知時期、通知内容、追加報告を定めます。
再委託事前承諾、再委託先への同等義務、再委託先の行為に関する責任を定めます。
監査・報告合理的な範囲で報告を求め、監査できるようにします。
返却・消去契約終了後の返却、消去、廃棄、完了証明を求めます。

次の表は、インシデント初動報告で記録する項目を表しています。重要なのは、不明なものを不明と記録し、更新予定時刻と担当者を決めることです。各行から、初動時に抜けやすい情報を読み取ってください。

項目記載事項
報告日時・発見日時いつ報告し、いつ発見したかを記録します。
発見者部門、氏名、連絡先を記録します。
事象何が起きたかを、判明範囲と不明範囲に分けて記録します。
影響システム・影響情報対象システム、端末、クラウド、個人情報、営業秘密、顧客情報、認証情報を確認します。
件数・現在の対応判明件数、不明な場合の扱い、隔離、停止、調査、復旧の状況を記録します。
証拠保全・外部報告ログ、端末、メール、チャット、画面、当局、取引先、保険会社、警察への対応を記録します。
次回報告更新予定時刻と担当者を決めます。

次の一覧は、取締役会決議・報告事項と営業秘密管理チェックの例をまとめたものです。なぜ重要かというと、経営の承認・監督と、営業秘密としての客観的な管理を後から説明しやすくするためです。各項目から、議事録や点検表に残すべき事項を読み取ってください。

Board

取締役会で扱う事項

基本方針、責任者、重要情報資産、年度計画・予算、重大インシデント報告基準、委託先管理、漏えい等報告体制、監査計画、是正状況を扱います。

Trade Secret

営業秘密管理の確認

管理対象情報、秘密表示、アクセス権限、持出し・外部共有制限、NDA、退職時確認、ログ、委託先・共同研究先管理を確認します。

Section 13

情報セキュリティ体制のよくある質問

責任者、ISMS、中小企業、法務部門、委託先事故、ログ確認、生成AI、サイバー保険などを一般情報として整理します。

Q1. 情報セキュリティ体制は誰が責任を負いますか。

一般的には、最終責任は経営にあり、CISOまたは情報セキュリティ責任者が推進し、情報システム、法務、コンプライアンス、内部監査、個人情報保護担当、事業部門、人事、購買、広報が連携する体制が望ましいとされています。ただし、会社の規模、業種、データ量、上場有無、委託関係によって設計は変わります。具体的な権限設計は、専門家に相談して検討する必要があります。

Q2. ISMS認証を取得すれば十分ですか。

一般的には、ISMS認証は有用な評価手段とされています。ただし、認証範囲、対象業務、子会社、委託先、クラウド、実際の運用状況によって説明できる範囲が変わります。アクセス権限、ログ、退職者管理、インシデント対応が実効的かは別途確認する必要があります。

Q3. 中小企業でも情報セキュリティ体制は必要ですか。

一般的には、中小企業でも体制整備が必要とされています。大企業の委託先としてサプライチェーンに組み込まれることがあり、攻撃対象になる可能性もあります。まずは責任者、情報資産台帳、MFA、バックアップ、教育、委託先契約、インシデント連絡網から始める方法が考えられます。

Q4. 法務部門はどこまで技術を理解しますか。

一般的には、法務部門が詳細な設定作業を担当する必要はありません。ただし、MFA、アクセス権限、ログ、バックアップ、脆弱性、暗号化、クラウド、EDR、フォレンジック、AI利用管理の基本概念を理解すると、契約条項、当局報告、本人通知、証拠保全、取締役会報告を設計しやすくなります。

Q5. 情報セキュリティ規程を作れば足りますか。

一般的には、規程は出発点にすぎないとされています。教育、アクセス権限設定、委託先契約への反映、監査、インシデント訓練、証跡管理が伴わなければ、実効的な体制とは評価しにくくなります。

Q6. 個人情報が漏えいしたか不明な段階でも報告準備は必要ですか。

一般的には、報告対象となる可能性がある場合、速やかに事実確認、証拠保全、影響範囲調査、期限管理を開始することが重要とされています。ただし、具体的な報告要否や本人通知の要否は、情報の種類、件数、被害のおそれ、委託関係によって変わります。

Q7. 委託先の事故でも自社に責任が生じますか。

一般的には、自社が個人データの取扱いを委託している場合、委託先の監督が問題になる可能性があります。また、顧客契約上、自社がサービス提供責任を負っている場合、委託先の事故でも説明責任や契約責任が生じる可能性があります。具体的な責任範囲は契約や事案で変わります。

Q8. 社員のメールやログを確認してもよいですか。

一般的には、業務上必要な範囲で、就業規則や社内規程に根拠を置き、目的、範囲、権限、保存期間を明確にし、プライバシーに配慮して行う必要があります。無限定、秘密裏、恣意的な確認は紛争リスクを高める可能性があります。

Q9. 生成AIを業務で禁止した方がよいですか。

一般的には、一律禁止だけではシャドーAIを招く場合があります。承認済みサービス、入力禁止情報、契約審査、ログ、教育、出力確認、違反対応を定める方法が考えられます。具体的な方針は、業務内容、情報の機密性、利用サービスの契約条件によって変わります。

Q10. サイバー保険に入れば十分ですか。

一般的には、サイバー保険は費用や損害の一部を補填する可能性がある制度であり、法令報告、本人通知、復旧、顧客信頼、営業秘密流出、業務停止を防ぐものではありません。保険金支払いには、事前対策や通知義務が条件となることがあります。

Q11. 取締役会にはどの程度報告しますか。

一般的には、重大リスク、予算、人員、監査結果、重大インシデント、未是正の高リスク、法令・契約上の重要事項を報告対象にすることが考えられます。技術的詳細よりも、経営判断に必要なリスク、影響、選択肢、残存リスクを整理することが重要です。

Q12. 最初に作る文書は何ですか。

一般的には、情報セキュリティ基本方針、情報資産台帳、インシデント連絡網、個人情報取扱台帳、委託先台帳、アクセス権限管理手順を優先する方法が考えられます。大部の規程より、実際に使える台帳と手順が重要です。

Q13. 外部弁護士にはいつ相談を検討しますか。

一般的には、個人情報漏えい、ランサムウェア、営業秘密持出し、内部不正、重大な委託先事故、当局報告、海外法令、訴訟可能性、報道対応がある場合、早期相談を検討することが多いです。証拠保全や初動判断を誤ると、後日の対応が難しくなる可能性があります。

Q14. どの部門から体制整備を始めますか。

一般的には、経営者が方針を示し、情報システム、法務、個人情報保護担当、コンプライアンス、内部監査、主要事業部門が小さな横断チームを作る方法が現実的です。責任者、台帳、優先リスク、期限を決めて動き始めることが重要です。

Q15. 監査でよく見つかる問題は何ですか。

一般的には、退職者アカウントの残存、権限過多、委託先契約の不備、クラウド・SaaS台帳の未整備、バックアップ未検証、教育未受講、ログ保存不足、規程と実態の不一致が見つかりやすいとされています。高度な攻撃対策の前に、基本的な不備を減らすことが重要です。

Section 14

情報セキュリティ体制を企業価値を守るガバナンスにする

法令、契約、証拠、責任、説明可能性の観点から、技術対策を管理体制へ昇華させます。

情報セキュリティ体制は、企業の情報を守る技術的対策であると同時に、企業法務、内部統制、取締役会監督、個人情報保護、営業秘密管理、契約責任、サプライチェーン管理、危機対応、監査、訴訟証拠の基盤です。

次の強調欄は、このページの結論をまとめています。重要なのは、情報セキュリティを技術部門だけの専門領域として切り離さず、法令、契約、証拠、責任、説明可能性の観点から運用することです。文中の要素から、自社の体制に不足している接続点を読み取ってください。

継続的に改善する説明可能な体制が必要です

経営者の責任の下で、守るべき情報を特定し、リスクを評価し、規程・契約・技術・教育・監査・インシデント対応を一体として運用し、証跡を残しながら改善します。

ランサムウェア、サプライチェーン攻撃、生成AI、クラウド利用、リモートワーク、委託先事故、内部不正、個人情報保護、営業秘密流出が経営課題となる現在、情報セキュリティ体制は企業価値を守るための必須のガバナンスです。法務専門職は、情報システム部門や経営陣と連携し、法令、契約、証拠、責任、説明可能性を実務に組み込みます。情報システム部門は、法務・経営・監査の視点を理解し、会社として説明できる管理体制に高めます。経営陣は、情報セキュリティ体制を信頼、事業継続、競争力、企業価値を守る投資として位置づけます。

Guide

情報セキュリティ体制で次に確認したいこと

目的に近い詳しい解説へ進めるよう、関連するテーマを整理しました。

知りたい内容を選ぶと、手続、費用、地域、具体的な論点などの詳しい解説に進めます。

このテーマから次に確認されやすい詳しい解説を8件表示しています。

Reference

この記事の参考情報源

国内公的機関・専門機関

  • 経済産業省 サイバーセキュリティ経営ガイドライン
  • 独立行政法人情報処理推進機構 サイバーセキュリティ経営ガイドライン実践のためのプラクティス集
  • 独立行政法人情報処理推進機構 中小企業の情報セキュリティ対策ガイドライン
  • 独立行政法人情報処理推進機構 情報セキュリティ10大脅威 2026
  • 個人情報保護委員会 漏えい等の対応とお役立ち資料
  • 個人情報保護委員会 個人情報の保護に関する法律についてのガイドライン
  • e-Gov法令検索 個人情報の保護に関する法律
  • 経済産業省 営業秘密管理指針
  • 経済産業省 秘密情報の保護ハンドブック
  • 経済産業省 情報セキュリティ監査制度
  • 経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度に関する資料
  • 独立行政法人情報処理推進機構 サプライチェーン強化に向けたセキュリティ対策評価制度
  • 内閣サイバーセキュリティセンター 重要な資料
  • 金融庁 財務報告に係る内部統制の評価及び監査に関する基準
  • 経済産業省・総務省 AI事業者ガイドライン

国際標準・海外公的機関・専門機関

  • ISO ISO/IEC 27001 2022 Information security management systems
  • 日本産業標準調査会 JIS Q 27001
  • NIST Cybersecurity Framework 2.0
  • NIST Privacy Framework
  • NIST SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations
  • NIST Computer Security Resource Center Information Security
  • Center for Internet Security CIS Critical Security Controls