基本方針、対策基準、実施手順を分けて整備し、個人情報、営業秘密、委託先、クラウド、生成AI、インシデント対応を監査可能な文書体系へつなげます。
基本方針・対策基準・実施手順を接続し、経営、法務、監査、現場運用を一体で管理します。
基本方針・対策基準・実施手順を接続し、経営、法務、監査、現場運用を一体で管理します。
セキュリティポリシー三階層の策定は、経営者のリスク認識を基本方針で示し、組織が守る基準を対策基準へ落とし込み、現場の作業を実施手順として具体化する取り組みです。情報システム部門だけの技術文書ではなく、法務、個人情報保護、内部監査、人事、購買、事業部門、外部専門家が共通して使う統制文書として設計します。
次の比較表は、三つの階層ごとの役割、承認者、読者、改訂頻度を整理したものです。階層ごとに抽象度と変更頻度が違うため、読者は「誰が承認し、誰が読み、どの頻度で見直すか」を確認すると、自社で整える文書を読み取りやすくなります。
| 階層 | 名称 | 主な役割 | 主な承認者 | 主な読者 | 改訂頻度 |
|---|---|---|---|---|---|
| 第1階層 | 基本方針 | 経営者の意思、情報資産保護の基本姿勢、適用範囲、責任体制を示します。 | 取締役会、代表取締役、経営会議など | 全役職員、取引先、顧客、監査人 | 低めです。年1回確認し、重要変更時に改訂します。 |
| 第2階層 | 対策基準 | アクセス管理、情報分類、委託先管理、ログ、教育、事故対応などの守るべき基準を定めます。 | 経営会議、CISO、情報セキュリティ委員会、法務・コンプライアンス責任者 | 管理職、システム管理者、事業部門、監査部門 | 中程度です。年1回または制度変更時に見直します。 |
| 第3階層 | 実施手順 | 操作、申請、確認、記録、報告、復旧、例外処理の具体的な手順を定めます。 | 主管部門、CISO、システムオーナー、個人情報保護責任者 | 担当者、利用者、委託先、ヘルプデスク | 高めです。システム変更や脅威変化に応じて随時改訂します。 |
三階層に分ける理由は、承認権限、変更頻度、読者、監査方法、法務レビュー、例外管理、事故後説明がそれぞれ異なるためです。基本方針だけでは現場行動に結びつきにくく、実施手順だけでは法令・契約・経営方針との関係が見えにくくなります。
用語の範囲と三階層に分ける実務上の理由を整理します。
このページでいうセキュリティポリシーは、情報資産、情報システム、ネットワーク、クラウド、個人情報、営業秘密、知的財産、事業継続に関する方針・規程・手順の総称です。入退室、媒体管理、委託先管理、従業員教育など、情報セキュリティに影響する周辺統制も含めて設計します。
次の重要ポイントは、三階層を単なる文書分類ではなく、統制の流れとして理解するためのものです。読者は、左から右へ抽象度が下がり、経営意思が現場の作業と証跡へ変わる点を読み取ると、文書体系の意味を把握しやすくなります。
顧客情報、取引先情報、従業員情報、個人情報、営業秘密、知的財産、業務システムを重要な経営資産として扱う姿勢を示します。
情報分類、アクセス管理、人的管理、技術的管理、クラウド、委託先、個人情報、事故対応、例外管理などの最低水準を定めます。
申請フォーム、台帳、担当者、期限、証跡、エスカレーション、保存期間を具体化し、現場が迷わず動ける状態にします。
政府統一基準、経産省・IPA、個人情報保護委員会、NIST、ISO、CISの考え方を接続します。
セキュリティポリシー三階層の策定では、公的機関、国際規格、実務フレームワークをそのまま貼り付けるのではなく、自社の事業、データ、契約、委託構造に合わせて翻訳することが重要です。次の一覧では、どの基準がどの階層に効くかを示しているため、読者は自社文書の根拠として使うべき資料を読み取れます。
上位文書で原則と責任を定め、中位文書で遵守事項を置き、下位文書で具体的対策や運用例を示す考え方が参考になります。
文書体系経営者の三原則とCISO等への重要10項目は、基本方針と対策基準の中心論点になります。
経営責任2026年3月27日に第4.0版が公開され、バックアップ、サプライチェーン、人材確保・育成などの記載が拡充されています。
中小企業安全管理措置、委託先監督、漏えい等報告、本人通知を対策基準と実施手順に組み込みます。確報は原則30日以内、一定の場合は60日以内とされます。
個人情報統治、識別、防御、検知、対応、復旧の観点から、リスク管理戦略、役割責任、ポリシー、監督、サプライチェーンを明文化します。
統治ISMS、管理策、内部監査、マネジメントレビュー、資産管理、ログ管理、脆弱性管理、バックアップなどを対策基準と実施手順に反映します。
管理策特に個人データを扱う企業では、安全管理措置、委託先監督、漏えい等の初動、速報・確報、本人通知、公表判断、証拠保全を文書体系に含める必要があります。基本方針に「個人情報を保護します」と書くだけでは足りず、対策基準で義務を定め、実施手順で担当者、期限、様式、承認者を明確にします。
内部統制、個人情報、営業秘密、委託先、労務・懲戒の論点を同じ文書体系に収めます。
セキュリティ事故が起きると、責任部署、情報資産分類、委託契約、従業員教育、アクセス権、退職者管理、バックアップ、当局報告、顧客説明、証拠保全、再発防止まで同時に問われます。次の比較表は、企業法務の主要論点と三階層での反映先を示しているため、読者はIT部門だけで完結しない範囲を読み取れます。
| 法務・統制論点 | 三階層で反映する内容 | 実務上の焦点 |
|---|---|---|
| 内部統制 | 取締役会・経営陣の監督、損失危険管理、情報保存管理、法令遵守体制を基本方針と対策基準に置きます。 | 経営会議・取締役会への報告、J-SOX対象システム、監査証跡を整えます。 |
| 個人情報保護 | 個人データ、安全管理措置、委託、共同利用、越境移転、漏えい等対応を対策基準と手順に分解します。 | 速報・確報、本人通知、委託元・委託先通知、影響範囲調査を明確にします。 |
| 営業秘密・知的財産 | 秘密区分、アクセス権、持ち出し、クラウド保存、退職時返還、秘密表示、ログ取得を定めます。 | 秘密管理性、退職時確認、外部共有リンク、ソースコード、研究開発データが焦点になります。 |
| 契約・委託先管理 | 委託先評価、秘密保持、再委託、事故通知、監査権、ログ提供、契約終了時の返還・削除を契約と連動させます。 | SaaS、クラウド、BPO、開発会社、保守会社、サブプロセッサを台帳化します。 |
| 労務・懲戒 | 就業規則、秘密保持、教育、誓約書、ログ監視、退職時対応、違反時措置を対策基準に接続します。 | 監視目的、閲覧者、保管期間、従業員周知、懲戒の均衡が問題になります。 |
基本方針、対策基準、実施手順の項目、義務表現、具体手順を実務に落とし込みます。
三階層の詳細設計では、基本方針が経営の約束、対策基準が組織のルール、実施手順が現場作業という役割を持ちます。次の一覧は、各階層に入れるべき項目を示しているため、読者は自社で不足している文書や章を確認できます。
目的、適用範囲、保護対象、経営者責任、法令・契約遵守、リスクマネジメント、体制、教育、委託先管理、事故対応、違反時措置、継続的改善を入れます。
総則、体制、情報資産、情報分類、アクセス、人的管理、物理的管理、技術的管理、クラウド、開発、委託先、個人情報、事故対応、BCP、監査、例外、改廃を整理します。
手順名、目的、適用範囲、トリガー、担当者、入力情報、作業手順、証跡、例外、エスカレーション、保存期間、関連文書、改訂履歴を入れます。
次の表は、対策基準で使う義務表現の強さを整理したものです。表現の違いは監査、懲戒、契約違反、事故後の説明に影響するため、読者は「必須」「例外承認つき必須」「標準」「推奨」「許容」の違いを読み取る必要があります。
| 表現 | 意味 | 使いどころ |
|---|---|---|
| 必須とします | 違反すれば是正対象になります。 | 個人データを扱うシステムのアクセス制御などに使います。 |
| 原則として必須とします | 例外承認がある場合を除き求められます。 | 機密情報の社外送信時の暗号化などに使います。 |
| 標準運用とします | 組織として通常採用する運用です。 | 四半期ごとの特権ID点検などに使います。 |
| 推奨します | 成熟度向上のための項目です。 | 重要委託先の年1回確認などに使います。 |
| 認めます | 一定条件で許容する運用です。 | 低リスクSaaSの簡易審査などに使います。 |
次の判断の流れは、退職者アカウント削除と個人データ漏えい疑いの初動を、現場が迷いにくい順番に並べたものです。順番に意味があり、最初にトリガーを捉え、次に対象確認、停止・保全、記録、必要部署への共有へ進む点を読み取ります。
退職日、契約終了日、誤送信、紛失、不正アクセス、委託先事故などを起点として記録します。
ID管理台帳、利用システム、対象データ、本人の数、暗号化有無、第三者アクセス可能性を整理します。
通常の退職処理か、漏えい等の疑いがあるか、法務・個人情報保護責任者への共有が必要かを分けます。
公開停止、共有リンク無効化、アカウント停止、ログ保存、独断削除の禁止を行います。
退職日または契約終了日の業務終了時までに主要アカウントを停止または削除し、チケットへ証跡を残します。
退職者アカウント削除では、退職・契約終了予定日の5営業日前までの依頼、通常アカウント、SaaS、VPN、特権ID、開発環境、クラウド管理者権限、APIキー、SSHキー、MFA端末の確認が重要です。例外的にアクセス維持が必要な場合は、理由、期限、代替策、承認者を記録し、期限は原則30日以内にします。
経営課題化から監査改善まで、12段階の作業を現実的な順番に整理します。
ゼロから策定する場合は、いきなり規程本文を書くのではなく、経営課題化、現状把握、法令・契約要求、リスク評価、文書体系、レビュー、教育、監査改善の順に進めます。次の時系列は成果物を併記しているため、読者は各段階で何を作るかを読み取れます。
プロジェクト憲章、経営承認、主管部門、スポンサー、予算、人員、外部専門家の要否を決めます。
情報資産台帳、システム一覧、委託先一覧、既存規程、クラウド利用、生成AI利用、個人データ管理台帳を棚卸しします。
不正アクセス、ランサムウェア、退職者持ち出し、クラウド共有リンク、メール誤送信、委託先事故、生成AI入力などを評価します。
三階層マップを設計し、法務・技術・監査レビューを経て承認し、研修、社内ポータル、自己点検、内部監査、KPIへ接続します。
法令・契約要求の整理では、どの要求をどの階層へ反映するかが重要です。次の表は要求源と反映先を並べているため、読者は法務レビューで抜けやすい事故通知期限、監査権、越境移転、業法上の報告義務を確認できます。
| 要求源 | 例 | 三階層への反映 |
|---|---|---|
| 個人情報保護法 | 安全管理措置、委託先監督、漏えい等報告・本人通知 | 対策基準、漏えい対応手順、委託契約条項に反映します。 |
| 会社法・内部統制 | 損失危険管理、情報保存管理、法令遵守体制 | 基本方針、対策基準、取締役会報告に反映します。 |
| 不正競争防止法 | 営業秘密管理 | 情報分類、秘密表示、アクセス管理、退職時手順に反映します。 |
| 顧客契約 | セキュリティ基準、監査権、事故通知期限 | 委託先・顧客対応手順、SLA管理、契約別通知期限管理に反映します。 |
| 海外法令・規格 | GDPR、CCPA、ISO/IEC 27001、SOC 2、PCI DSSなど | 越境移転、データ所在地、証跡、監査対応に反映します。 |
経営、法務、CISO、監査、人事、購買、事業部門、外部専門家の役割を明確にします。
セキュリティポリシー三階層の策定は、多様な専門職が関与する共同作業です。次の一覧は担当領域ごとの役割をまとめているため、読者は「誰に相談し、誰が最終責任を持つか」を読み取れます。
| 専門職・部門 | 主な役割 |
|---|---|
| 取締役・経営層 | 基本方針承認、リスク受容、予算・人材配分、重大インシデント時の意思決定を担います。 |
| ゼネラルカウンセル・法務担当 | 法令・契約レビュー、規程整備、事故対応、委託契約、証拠保全を担います。 |
| 個人情報保護・プライバシー担当 | 個人データ管理、安全管理措置、漏えい等報告、本人通知、越境移転を担います。 |
| CISO・情報システム・セキュリティ担当 | 技術対策、ID管理、端末管理、ログ、脆弱性、バックアップ、CSIRT、訓練を担います。 |
| 内部監査・内部統制担当 | 統制評価、証跡確認、J-SOX、監査計画、改善提言を担います。 |
| 人事・労務、購買、事業部門 | 教育、就業規則、懲戒、退職時対応、委託先評価、顧客要求、例外申請を担います。 |
| 外部専門家 | 外部弁護士、フォレンジック専門家、公認会計士、弁理士、社会保険労務士などが高リスク案件や事故対応を支援します。 |
次のRACI表は、実行者、最終責任者、相談先、共有先を分けているため、責任を「全員」にして曖昧にしないために重要です。読者は、各業務で最終責任者が誰か、法務や監査がどの段階で関与するかを確認できます。
| 項目 | 実行 | 最終責任 | 相談 | 共有 |
|---|---|---|---|---|
| 基本方針承認 | CISO・法務 | 経営会議・取締役会 | 内部監査・人事・購買 | 全役職員 |
| アクセス権棚卸 | システムオーナー | 事業部門長 | 情報システム・監査 | CISO |
| 個人データ漏えい判断 | 個人情報保護担当・法務 | 代表者または危機対策本部長 | 外部弁護士・フォレンジック | 関係部門 |
| 委託先評価 | 購買・委託元部門 | 委託元部門長 | 法務・セキュリティ | 経理・監査 |
| 教育実施 | 人事・コンプライアンス | 人事責任者 | 法務・セキュリティ | 管理職 |
法務上の重要論点は、文書の見た目よりも、違反時措置、ログ監視、委託契約、生成AI、M&Aで実際に使えるかに表れます。次の一覧は、特に紛争や監査で問題になりやすい項目をまとめているため、読者は優先的に規程化すべき領域を読み取れます。
無断クラウド保存、個人メール送信、認証情報共有、無断USB利用、退職時持ち出し、事故隠蔽などを禁止事項として明確にし、就業規則と整合させます。
取得ログ、目的、閲覧者、保管期間、調査承認、従業員周知を定め、調査記録と証拠保全を実施手順へ落とします。
秘密保持、目的外利用禁止、再委託制限、事故通知、監査・報告、返還・削除、損害賠償、法令遵守を契約へ入れます。
入力禁止情報、例外承認、企業向け契約、学習利用設定、出力検証、ログ監査、委託先利用制限、事故報告を定めます。
基本方針、対策基準、実施手順、事故履歴、委託先契約、SaaS、退職者削除、バックアップ、規制対応を確認します。
契約上は「認識後24時間以内」「遅くとも48時間以内」など、法令上の報告期限より短い通知期限が置かれることがあります。
情報資産、個人情報、営業秘密、アクセス、委託先、クラウド、監査の対応関係を整理します。
三階層は、領域ごとに対応関係を持たせると運用しやすくなります。次の表は、基本方針、対策基準、実施手順を横に並べた対応表です。読者は、方針だけで止まっている領域、基準はあるが証跡が弱い領域、手順が古い領域を確認できます。
| 領域 | 基本方針 | 対策基準 | 実施手順 |
|---|---|---|---|
| 情報資産管理 | 情報資産を重要な経営資産として保護します。 | 分類、所有者、保管場所、保存期間を定めます。 | 情報資産台帳更新手順、棚卸チェックリストを運用します。 |
| 個人情報 | 個人情報を法令に従い適切に保護します。 | 安全管理措置、委託、漏えい対応を定めます。 | 個人データ管理台帳、初動手順、本人通知テンプレートを使います。 |
| 営業秘密 | 営業秘密・知財を競争力の源泉として保護します。 | 秘密区分、アクセス権、持ち出し、退職時管理を定めます。 | 秘密表示、退職時チェック、外部共有承認を実施します。 |
| アクセス管理 | 必要な者だけが必要な情報にアクセスできるようにします。 | 最小権限、MFA、特権ID、棚卸、退職時削除を定めます。 | アカウント申請、権限棚卸、特権ID利用記録を残します。 |
| 委託先管理 | サプライチェーン全体で情報を保護します。 | 選定、契約条項、再委託、事故通知、監査を定めます。 | 評価票、契約レビュー、定期確認、事故通知テンプレートを使います。 |
| クラウド | クラウドを安全に利用します。 | 利用申請、リスク評価、契約、権限、ログ、データ所在地を定めます。 | SaaS利用申請、共有リンク点検、設定チェックを行います。 |
| 監査 | 継続的に確認し改善します。 | 自己点検、内部監査、是正、経営報告を定めます。 | 監査チェックリスト、是正計画、フォローアップ記録を残します。 |
よくある失敗、改善策、5段階の成熟度、規模・業種別の考え方を確認します。
よくある失敗は、文書がないことだけではありません。文書はあるのに守れない、法務が関与していない、手順が古い、例外管理がない、委託先が対象外、証跡が残らない、といった運用不備が大きなリスクになります。次の一覧は失敗と改善策を対比しているため、読者は自社で優先して直すべき箇所を読み取れます。
| 失敗例 | 起きる問題 | 改善策 |
|---|---|---|
| 基本方針だけで終わる | 顧客監査や事故対応で実施内容を説明できません。 | 方針ごとに対策基準、手順、証跡を紐づけます。 |
| 高度すぎて守れない | 事故後に守れない規程が不利な証拠になり得ます。 | 最低基準、重要情報向け強化基準、高リスク追加基準を分けます。 |
| 法務が関与していない | 個人情報、委託契約、懲戒、監視、海外法令が抜けやすくなります。 | 法務、個人情報保護担当、購買、人事、内部監査を入れます。 |
| 手順が古い | 現場が信用せず、実際のシステム画面と合わなくなります。 | システム変更管理に手順改訂の確認を組み込みます。 |
| 例外管理がない | 非公式な回避運用が積み上がり、監査できません。 | 理由、対象、期間、代替策、残存リスク、承認者、再評価日を記録します。 |
| 証跡が残らない | 実施した説明が口頭に留まります。 | チケット、承認ログ、台帳、ログ、教育記録、契約書、議事録を残します。 |
成熟度は一気に最高水準を目指すのではなく、自社のリスクに見合う最低限の管理から始め、証跡と改善を積み上げます。次の表は5段階の状態を示しているため、読者は現在地と次の改善を読み取れます。
| レベル | 状態 | 典型的な問題 | 次の改善 |
|---|---|---|---|
| 1 | 文書なし | 属人的で、事故時に混乱します。 | 基本方針と最低限の対策基準を作ります。 |
| 2 | 基本文書あり | 実施手順と証跡が弱い状態です。 | 重要領域の手順と台帳を整備します。 |
| 3 | 三階層あり | 部門差や例外管理不足が残ります。 | RACI、例外管理、監査を導入します。 |
| 4 | 運用・監査あり | 継続改善が不十分になりがちです。 | KPI、教育、訓練、委託先管理を強化します。 |
| 5 | 経営統合 | 事業、契約、M&Aとの統合が課題です。 | 経営指標、サプライチェーン、国際規制対応を高度化します。 |
中小企業では、基本方針1〜2ページ、対策基準10〜30ページ程度、実施手順はチェックリスト、台帳、緊急連絡先、委託先一覧、クラウド利用ルールから始める方法が現実的です。上場企業、規制業種、グローバル企業では、取締役会報告、J-SOX、業種別付則、越境移転、ローカル付則を強化します。
基本方針、対策基準、実施手順、監査証跡の確認項目をまとめます。
チェックリストは、本文で整理した三階層の抜け漏れを最終確認するために使います。次の一覧は、基本方針、対策基準、実施手順で確認すべき項目をまとめているため、読者は自社文書のレビューや監査前点検に利用できます。
経営者承認、目的、適用範囲、情報資産、法令・契約遵守、責任者、教育、委託先、インシデント、継続的改善、違反時措置、改訂日、承認者、主管部門を確認します。
情報資産、情報分類、アクセス、特権ID、個人情報、営業秘密、クラウド、委託先、インシデント、バックアップ、ログ、脆弱性、開発、教育、例外、監査を確認します。
担当者、承認者、期限、フォーム、台帳、証跡、例外、エスカレーション、法務・個人情報保護・広報・外部専門家への連絡条件、画面との一致、改訂履歴、教育組込みを確認します。
監査・点検では、実際に記録があるかが重要です。次の一覧は運用証跡の例を並べているため、読者は「規程がある」だけではなく「実施したことを後から示せる」状態になっているかを確認できます。
アカウント申請、承認、設定記録、棚卸、退職者削除、特権IDログ、是正記録を確認します。
委託先台帳、セキュリティ評価票、契約条項、再委託承認、定期確認、事故通知テンプレートを確認します。
受講者、日時、教材、テスト結果、未受講者対応、訓練記録、改善記録を確認します。
初報、続報、ログ保全、影響範囲、原因分析、当局報告、本人通知、公表判断、再発防止策を確認します。
法務・監査・現場運用で迷いやすい点を一般情報として整理します。
FAQでは、個別事案への法律判断ではなく、一般的な制度・実務上の考え方を整理します。各回答は、事故態様、取扱データ、契約、業種、証拠関係によって結論が変わる可能性がある点を前提に読んでください。
一般的には、三階層という名称の文書作成をすべての企業に直接命じる一般法があるわけではありません。ただし、個人情報保護法上の安全管理措置、会社法上の内部統制、契約上のセキュリティ義務、業法上の管理義務、顧客監査、事故後の説明責任を考えると、三階層で整備することは実務上有効とされています。具体的な整備範囲は、業種、規模、取扱データ、契約内容に応じて専門家に確認する必要があります。
一般的には、小規模企業でも情報資産とリスクに見合うルールを持つことが重要とされています。ただし、文書量は簡素化できます。基本方針1ページ、対策基準10ページ程度、実施手順はチェックリストや台帳から始める方法もあります。具体的な水準は、個人情報、委託先、クラウド利用、顧客要求によって変わります。
一般的には、IPAのサンプルは出発点として有用です。ただし、そのままでは自社の業務、委託先、クラウド、個人情報、顧客契約、海外展開、業法規制に合わない場合があります。責任者、承認者、証跡、例外管理、事故対応を自社向けに具体化する必要があります。
一般的には、顧客、取引先、採用候補者、監査人への信頼形成のため、基本方針の概要を社外公開する企業があります。ただし、対策基準や実施手順には攻撃者に悪用され得る具体的な管理方法が含まれるため、社内限定または関係者限定にすることが多いです。
一般的には、対策基準は「何を守るか」を定め、実施手順は「どう守るか」を定めます。例えば、対策基準では退職者アカウントの速やかな削除を定め、実施手順では人事からの通知、ITサービスデスクの作業、システムオーナー確認、チケット記録まで具体化します。
一般的には、例外を一切認めない設計は現場の非公式な回避を生みやすいとされています。重要なのは、例外を可視化し、理由、対象、期間、代替策、承認者、残存リスク、再評価日を記録することです。個別の例外承認は、リスクの大きさに応じて専門家へ相談する必要があります。
一般的には、文書の存在だけでなく、承認、周知、運用、証跡、例外、改善が確認されます。アクセス管理では、規程、申請、承認、設定記録、棚卸、退職者削除、特権IDログ、監査指摘、是正記録が確認対象になります。
一般的には、事故後の規程整備は再発防止策として意味があります。ただし、事故前に存在しなかった規程を事故前からあったように扱うことは避ける必要があります。事実関係を踏まえ、規程、教育、監査、技術対策へ反映することが重要です。
公的機関、国際規格、実務フレームワークの資料名を整理します。