2σ Guide

セキュリティポリシー三階層の策定
企業法務と内部統制の実務

基本方針、対策基準、実施手順を分けて整備し、個人情報、営業秘密、委託先、クラウド、生成AI、インシデント対応を監査可能な文書体系へつなげます。

3層基本方針・対策基準・実施手順
10項目経営層が指示すべき重点
30日個人データ漏えい確報の原則期限
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

セキュリティポリシー三階層の策定 企業法務と内部統制の実務

基本方針・対策基準・実施手順を接続し、経営、法務、監査、現場運用を一体で管理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
セキュリティポリシー三階層の策定 企業法務と内部統制の実務
基本方針・対策基準・実施手順を接続し、経営、法務、監査、現場運用を一体で管理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • セキュリティポリシー三階層の策定 企業法務と内部統制の実務
  • 基本方針・対策基準・実施手順を接続し、経営、法務、監査、現場運用を一体で管理します。

POINT 1

  • セキュリティポリシー三階層の策定の全体像
  • 基本方針・対策基準・実施手順を接続し、経営、法務、監査、現場運用を一体で管理します。
  • 三階層に分ける理由は、承認権限、変更頻度、読者、監査方法、法務レビュー、例外管理、事故後説明がそれぞれ異なるためです。
  • 基本方針だけでは現場行動に結びつきにくく、実施手順だけでは法令・契約・経営方針との関係が見えにくくなります。

POINT 2

  • セキュリティポリシー三階層の策定とは何か
  • 用語の範囲と三階層に分ける実務上の理由を整理します。
  • 基本方針
  • 対策基準
  • 実施手順

POINT 3

  • セキュリティポリシー三階層の策定と信頼できる基準
  • 政府統一基準、経産省・IPA、個人情報保護委員会、NIST、ISO、CISの考え方を接続します。
  • 上位文書で原則と責任を定め、中位文書で遵守事項を置き、下位文書で具体的対策や運用例を示す考え方が参考になります。
  • 2026年3月27日に第4.0版が公開され、バックアップ、サプライチェーン、人材確保・育成などの記載が拡充されています。
  • 安全管理措置、委託先監督、漏えい等報告、本人通知を対策基準と実施手順に組み込みます。

POINT 4

  • セキュリティポリシー三階層の策定を企業法務へ接続する
  • 内部統制、個人情報、営業秘密、委託先、労務・懲戒の論点を同じ文書体系に収めます。

POINT 5

  • セキュリティポリシー三階層の策定で設計する文書
  • 1. トリガーを記録:退職日、契約終了日、誤送信、紛失、不正アクセス、委託先事故などを起点として記録します。
  • 2. 対象を確認:ID管理台帳、利用システム、対象データ、本人の数、暗号化有無、第三者アクセス可能性を整理します。
  • 3. 対応の優先度を判定:通常の退職処理か、漏えい等の疑いがあるか、法務・個人情報保護責任者への共有が必要かを分けます。
  • 4. 被害拡大防止と証拠保全:公開停止、共有リンク無効化、アカウント停止、ログ保存、独断削除の禁止を行います。
  • 5. 停止・削除と記録:退職日または契約終了日の業務終了時までに主要アカウントを停止または削除し、チケットへ証跡を残します。

POINT 6

  • セキュリティポリシー三階層の策定手順
  • 1. 経営課題化:プロジェクト憲章、経営承認、主管部門、スポンサー、予算、人員、外部専門家の要否を決めます。
  • 2. 現状把握:情報資産台帳、システム一覧、委託先一覧、既存規程、クラウド利用、生成AI利用、個人データ管理台帳を棚卸しします。
  • 3. 法令・契約要求の整理:個人情報保護法、会社法 ・内部統制、不正競争防止法、業法、顧客契約、海外法令、認証・規格をマトリクス化します。
  • 4. リスクアセスメント
  • 5. 文書化、承認、教育、監査改善

POINT 7

  • セキュリティポリシー三階層の策定に関わる専門職
  • 経営、法務、CISO、監査、人事、購買、事業部門、外部専門家の役割を明確にします。
  • セキュリティポリシー三階層の策定は、多様な専門職が関与する共同作業です。
  • 次のRACI表は、実行者、最終責任者、相談先、共有先を分けているため、責任を「全員」にして曖昧にしないために重要です。
  • 読者は、各業務で最終責任者が誰か、法務や監査がどの段階で関与するかを確認できます。

POINT 8

  • セキュリティポリシー三階層の策定で法務が見るべき論点
  • 懲戒、ログ監視、委託契約、生成AI、M&A、事故通知期限を重点的に確認します。
  • 違反時措置
  • ログと従業員プライバシー
  • 契約条項

まとめ

  • セキュリティポリシー三階層の策定 企業法務と内部統制の実務
  • セキュリティポリシー三階層の策定の全体像:基本方針・対策基準・実施手順を接続し、経営、法務、監査、現場運用を一体で管理します。
  • セキュリティポリシー三階層の策定とは何か:用語の範囲と三階層に分ける実務上の理由を整理します。
  • セキュリティポリシー三階層の策定と信頼できる基準:政府統一基準、経産省・IPA、個人情報保護委員会、NIST、ISO、CISの考え方を接続します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

セキュリティポリシー三階層の策定の全体像

基本方針・対策基準・実施手順を接続し、経営、法務、監査、現場運用を一体で管理します。

セキュリティポリシー三階層の策定は、経営者のリスク認識を基本方針で示し、組織が守る基準を対策基準へ落とし込み、現場の作業を実施手順として具体化する取り組みです。情報システム部門だけの技術文書ではなく、法務、個人情報保護、内部監査、人事、購買、事業部門、外部専門家が共通して使う統制文書として設計します。

主な結論三階層の目的は、経営判断を現場行動へ、現場行動を監査可能な証跡へ変換することです。個人情報、営業秘密、委託先、クラウド、生成AI、インシデント対応を一つの文書体系へ接続することで、平時の予防と有事の説明責任を支えます。

次の比較表は、三つの階層ごとの役割、承認者、読者、改訂頻度を整理したものです。階層ごとに抽象度と変更頻度が違うため、読者は「誰が承認し、誰が読み、どの頻度で見直すか」を確認すると、自社で整える文書を読み取りやすくなります。

階層名称主な役割主な承認者主な読者改訂頻度
第1階層基本方針経営者の意思、情報資産保護の基本姿勢、適用範囲、責任体制を示します。取締役会、代表取締役、経営会議など全役職員、取引先、顧客、監査人低めです。年1回確認し、重要変更時に改訂します。
第2階層対策基準アクセス管理、情報分類、委託先管理、ログ、教育、事故対応などの守るべき基準を定めます。経営会議、CISO、情報セキュリティ委員会、法務・コンプライアンス責任者管理職、システム管理者、事業部門、監査部門中程度です。年1回または制度変更時に見直します。
第3階層実施手順操作、申請、確認、記録、報告、復旧、例外処理の具体的な手順を定めます。主管部門、CISO、システムオーナー、個人情報保護責任者担当者、利用者、委託先、ヘルプデスク高めです。システム変更や脅威変化に応じて随時改訂します。

三階層に分ける理由は、承認権限、変更頻度、読者、監査方法、法務レビュー、例外管理、事故後説明がそれぞれ異なるためです。基本方針だけでは現場行動に結びつきにくく、実施手順だけでは法令・契約・経営方針との関係が見えにくくなります。

Section 01

セキュリティポリシー三階層の策定とは何か

用語の範囲と三階層に分ける実務上の理由を整理します。

このページでいうセキュリティポリシーは、情報資産、情報システム、ネットワーク、クラウド、個人情報、営業秘密、知的財産、事業継続に関する方針・規程・手順の総称です。入退室、媒体管理、委託先管理、従業員教育など、情報セキュリティに影響する周辺統制も含めて設計します。

次の重要ポイントは、三階層を単なる文書分類ではなく、統制の流れとして理解するためのものです。読者は、左から右へ抽象度が下がり、経営意思が現場の作業と証跡へ変わる点を読み取ると、文書体系の意味を把握しやすくなります。

第1階層

基本方針

顧客情報、取引先情報、従業員情報、個人情報、営業秘密、知的財産、業務システムを重要な経営資産として扱う姿勢を示します。

第2階層

対策基準

情報分類、アクセス管理、人的管理、技術的管理、クラウド、委託先、個人情報、事故対応、例外管理などの最低水準を定めます。

第3階層

実施手順

申請フォーム、台帳、担当者、期限、証跡、エスカレーション、保存期間を具体化し、現場が迷わず動ける状態にします。

三階層にする七つの理由

  • 基本方針、対策基準、実施手順では承認権限が異なります。
  • 基本方針は安定性が重要で、実施手順はシステム変更に合わせた更新が必要です。
  • 経営者、従業員、システム管理者、委託先、監査人、顧客では必要な詳細度が異なります。
  • 監査では、方針不備、基準不備、運用不備を切り分けやすくなります。
  • 法務部門が見るべき規程、契約、懲戒、個人情報、越境移転のポイントが明確になります。
  • 基準からの例外と、手順上の一時的な代替策を区別できます。
  • インシデント後に、どの方針、基準、手順を整備し、どこまで実施したか説明しやすくなります。
Section 02

セキュリティポリシー三階層の策定と信頼できる基準

政府統一基準、経産省・IPA、個人情報保護委員会、NIST、ISO、CISの考え方を接続します。

セキュリティポリシー三階層の策定では、公的機関、国際規格、実務フレームワークをそのまま貼り付けるのではなく、自社の事業、データ、契約、委託構造に合わせて翻訳することが重要です。次の一覧では、どの基準がどの階層に効くかを示しているため、読者は自社文書の根拠として使うべき資料を読み取れます。

1

政府統一基準群

上位文書で原則と責任を定め、中位文書で遵守事項を置き、下位文書で具体的対策や運用例を示す考え方が参考になります。

文書体系
2

サイバーセキュリティ経営ガイドライン

経営者の三原則とCISO等への重要10項目は、基本方針と対策基準の中心論点になります。

経営責任
3

IPA中小企業向けガイドライン

2026年3月27日に第4.0版が公開され、バックアップ、サプライチェーン、人材確保・育成などの記載が拡充されています。

中小企業
4

個人情報保護委員会ガイドライン

安全管理措置、委託先監督、漏えい等報告、本人通知を対策基準と実施手順に組み込みます。確報は原則30日以内、一定の場合は60日以内とされます。

個人情報
5

NIST CSF 2.0

統治、識別、防御、検知、対応、復旧の観点から、リスク管理戦略、役割責任、ポリシー、監督、サプライチェーンを明文化します。

統治
6

ISO/IEC 27001とCIS Controls

ISMS、管理策、内部監査、マネジメントレビュー、資産管理、ログ管理、脆弱性管理、バックアップなどを対策基準と実施手順に反映します。

管理策

特に個人データを扱う企業では、安全管理措置、委託先監督、漏えい等の初動、速報・確報、本人通知、公表判断、証拠保全を文書体系に含める必要があります。基本方針に「個人情報を保護します」と書くだけでは足りず、対策基準で義務を定め、実施手順で担当者、期限、様式、承認者を明確にします。

Section 03

セキュリティポリシー三階層の策定を企業法務へ接続する

内部統制、個人情報、営業秘密、委託先、労務・懲戒の論点を同じ文書体系に収めます。

セキュリティ事故が起きると、責任部署、情報資産分類、委託契約、従業員教育、アクセス権、退職者管理、バックアップ、当局報告、顧客説明、証拠保全、再発防止まで同時に問われます。次の比較表は、企業法務の主要論点と三階層での反映先を示しているため、読者はIT部門だけで完結しない範囲を読み取れます。

法務・統制論点三階層で反映する内容実務上の焦点
内部統制取締役会・経営陣の監督、損失危険管理、情報保存管理、法令遵守体制を基本方針と対策基準に置きます。経営会議・取締役会への報告、J-SOX対象システム、監査証跡を整えます。
個人情報保護個人データ、安全管理措置、委託、共同利用、越境移転、漏えい等対応を対策基準と手順に分解します。速報・確報、本人通知、委託元・委託先通知、影響範囲調査を明確にします。
営業秘密・知的財産秘密区分、アクセス権、持ち出し、クラウド保存、退職時返還、秘密表示、ログ取得を定めます。秘密管理性、退職時確認、外部共有リンク、ソースコード、研究開発データが焦点になります。
契約・委託先管理委託先評価、秘密保持、再委託、事故通知、監査権、ログ提供、契約終了時の返還・削除を契約と連動させます。SaaS、クラウド、BPO、開発会社、保守会社、サブプロセッサを台帳化します。
労務・懲戒就業規則、秘密保持、教育、誓約書、ログ監視、退職時対応、違反時措置を対策基準に接続します。監視目的、閲覧者、保管期間、従業員周知、懲戒の均衡が問題になります。
注意ログ監視、DLP、端末管理、位置情報、生成AI利用制限は、従業員のプライバシーや労務管理とも関係します。取得目的、範囲、権限、保管期間、周知方法を文書化し、個別の調査や懲戒では事実関係に応じた専門家確認が必要です。
Section 04

セキュリティポリシー三階層の策定で設計する文書

基本方針、対策基準、実施手順の項目、義務表現、具体手順を実務に落とし込みます。

三階層の詳細設計では、基本方針が経営の約束、対策基準が組織のルール、実施手順が現場作業という役割を持ちます。次の一覧は、各階層に入れるべき項目を示しているため、読者は自社で不足している文書や章を確認できます。

基本方針の項目

目的、適用範囲、保護対象、経営者責任、法令・契約遵守、リスクマネジメント、体制、教育、委託先管理、事故対応、違反時措置、継続的改善を入れます。

対策基準の章

総則、体制、情報資産、情報分類、アクセス、人的管理、物理的管理、技術的管理、クラウド、開発、委託先、個人情報、事故対応、BCP、監査、例外、改廃を整理します。

実施手順の項目

手順名、目的、適用範囲、トリガー、担当者、入力情報、作業手順、証跡、例外、エスカレーション、保存期間、関連文書、改訂履歴を入れます。

義務の強さを分ける

次の表は、対策基準で使う義務表現の強さを整理したものです。表現の違いは監査、懲戒、契約違反、事故後の説明に影響するため、読者は「必須」「例外承認つき必須」「標準」「推奨」「許容」の違いを読み取る必要があります。

表現意味使いどころ
必須とします違反すれば是正対象になります。個人データを扱うシステムのアクセス制御などに使います。
原則として必須とします例外承認がある場合を除き求められます。機密情報の社外送信時の暗号化などに使います。
標準運用とします組織として通常採用する運用です。四半期ごとの特権ID点検などに使います。
推奨します成熟度向上のための項目です。重要委託先の年1回確認などに使います。
認めます一定条件で許容する運用です。低リスクSaaSの簡易審査などに使います。

実施手順の具体例

次の判断の流れは、退職者アカウント削除と個人データ漏えい疑いの初動を、現場が迷いにくい順番に並べたものです。順番に意味があり、最初にトリガーを捉え、次に対象確認、停止・保全、記録、必要部署への共有へ進む点を読み取ります。

実施手順へ落とし込む判断の流れ

トリガーを記録

退職日、契約終了日、誤送信、紛失、不正アクセス、委託先事故などを起点として記録します。

対象を確認

ID管理台帳、利用システム、対象データ、本人の数、暗号化有無、第三者アクセス可能性を整理します。

対応の優先度を判定

通常の退職処理か、漏えい等の疑いがあるか、法務・個人情報保護責任者への共有が必要かを分けます。

漏えい等の疑いあり
被害拡大防止と証拠保全

公開停止、共有リンク無効化、アカウント停止、ログ保存、独断削除の禁止を行います。

通常処理
停止・削除と記録

退職日または契約終了日の業務終了時までに主要アカウントを停止または削除し、チケットへ証跡を残します。

退職者アカウント削除では、退職・契約終了予定日の5営業日前までの依頼、通常アカウント、SaaS、VPN、特権ID、開発環境、クラウド管理者権限、APIキー、SSHキー、MFA端末の確認が重要です。例外的にアクセス維持が必要な場合は、理由、期限、代替策、承認者を記録し、期限は原則30日以内にします。

Section 05

セキュリティポリシー三階層の策定手順

経営課題化から監査改善まで、12段階の作業を現実的な順番に整理します。

ゼロから策定する場合は、いきなり規程本文を書くのではなく、経営課題化、現状把握、法令・契約要求、リスク評価、文書体系、レビュー、教育、監査改善の順に進めます。次の時系列は成果物を併記しているため、読者は各段階で何を作るかを読み取れます。

フェーズ1

経営課題化

プロジェクト憲章、経営承認、主管部門、スポンサー、予算、人員、外部専門家の要否を決めます。

フェーズ2

現状把握

情報資産台帳、システム一覧、委託先一覧、既存規程、クラウド利用、生成AI利用、個人データ管理台帳を棚卸しします。

フェーズ3

法令・契約要求の整理

個人情報保護法、会社法・内部統制、不正競争防止法、業法、顧客契約、海外法令、認証・規格をマトリクス化します。

フェーズ4

リスクアセスメント

不正アクセス、ランサムウェア、退職者持ち出し、クラウド共有リンク、メール誤送信、委託先事故、生成AI入力などを評価します。

フェーズ5から8

文書化、承認、教育、監査改善

三階層マップを設計し、法務・技術・監査レビューを経て承認し、研修、社内ポータル、自己点検、内部監査、KPIへ接続します。

法令・契約要求の整理では、どの要求をどの階層へ反映するかが重要です。次の表は要求源と反映先を並べているため、読者は法務レビューで抜けやすい事故通知期限、監査権、越境移転、業法上の報告義務を確認できます。

要求源三階層への反映
個人情報保護法安全管理措置、委託先監督、漏えい等報告・本人通知対策基準、漏えい対応手順、委託契約条項に反映します。
会社法・内部統制損失危険管理、情報保存管理、法令遵守体制基本方針、対策基準、取締役会報告に反映します。
不正競争防止法営業秘密管理情報分類、秘密表示、アクセス管理、退職時手順に反映します。
顧客契約セキュリティ基準、監査権、事故通知期限委託先・顧客対応手順、SLA管理、契約別通知期限管理に反映します。
海外法令・規格GDPR、CCPA、ISO/IEC 27001、SOC 2、PCI DSSなど越境移転、データ所在地、証跡、監査対応に反映します。
Section 06

セキュリティポリシー三階層の策定に関わる専門職

経営、法務、CISO、監査、人事、購買、事業部門、外部専門家の役割を明確にします。

セキュリティポリシー三階層の策定は、多様な専門職が関与する共同作業です。次の一覧は担当領域ごとの役割をまとめているため、読者は「誰に相談し、誰が最終責任を持つか」を読み取れます。

専門職・部門主な役割
取締役・経営層基本方針承認、リスク受容、予算・人材配分、重大インシデント時の意思決定を担います。
ゼネラルカウンセル・法務担当法令・契約レビュー、規程整備、事故対応、委託契約、証拠保全を担います。
個人情報保護・プライバシー担当個人データ管理、安全管理措置、漏えい等報告、本人通知、越境移転を担います。
CISO・情報システム・セキュリティ担当技術対策、ID管理、端末管理、ログ、脆弱性、バックアップ、CSIRT、訓練を担います。
内部監査・内部統制担当統制評価、証跡確認、J-SOX、監査計画、改善提言を担います。
人事・労務、購買、事業部門教育、就業規則、懲戒、退職時対応、委託先評価、顧客要求、例外申請を担います。
外部専門家外部弁護士、フォレンジック専門家、公認会計士、弁理士、社会保険労務士などが高リスク案件や事故対応を支援します。

次のRACI表は、実行者、最終責任者、相談先、共有先を分けているため、責任を「全員」にして曖昧にしないために重要です。読者は、各業務で最終責任者が誰か、法務や監査がどの段階で関与するかを確認できます。

項目実行最終責任相談共有
基本方針承認CISO・法務経営会議・取締役会内部監査・人事・購買全役職員
アクセス権棚卸システムオーナー事業部門長情報システム・監査CISO
個人データ漏えい判断個人情報保護担当・法務代表者または危機対策本部長外部弁護士・フォレンジック関係部門
委託先評価購買・委託元部門委託元部門長法務・セキュリティ経理・監査
教育実施人事・コンプライアンス人事責任者法務・セキュリティ管理職
Section 08

セキュリティポリシー三階層の策定テンプレート

情報資産、個人情報、営業秘密、アクセス、委託先、クラウド、監査の対応関係を整理します。

三階層は、領域ごとに対応関係を持たせると運用しやすくなります。次の表は、基本方針、対策基準、実施手順を横に並べた対応表です。読者は、方針だけで止まっている領域、基準はあるが証跡が弱い領域、手順が古い領域を確認できます。

領域基本方針対策基準実施手順
情報資産管理情報資産を重要な経営資産として保護します。分類、所有者、保管場所、保存期間を定めます。情報資産台帳更新手順、棚卸チェックリストを運用します。
個人情報個人情報を法令に従い適切に保護します。安全管理措置、委託、漏えい対応を定めます。個人データ管理台帳、初動手順、本人通知テンプレートを使います。
営業秘密営業秘密・知財を競争力の源泉として保護します。秘密区分、アクセス権、持ち出し、退職時管理を定めます。秘密表示、退職時チェック、外部共有承認を実施します。
アクセス管理必要な者だけが必要な情報にアクセスできるようにします。最小権限、MFA、特権ID、棚卸、退職時削除を定めます。アカウント申請、権限棚卸、特権ID利用記録を残します。
委託先管理サプライチェーン全体で情報を保護します。選定、契約条項、再委託、事故通知、監査を定めます。評価票、契約レビュー、定期確認、事故通知テンプレートを使います。
クラウドクラウドを安全に利用します。利用申請、リスク評価、契約、権限、ログ、データ所在地を定めます。SaaS利用申請、共有リンク点検、設定チェックを行います。
監査継続的に確認し改善します。自己点検、内部監査、是正、経営報告を定めます。監査チェックリスト、是正計画、フォローアップ記録を残します。
Section 09

セキュリティポリシー三階層の策定で避けたい失敗と成熟度

よくある失敗、改善策、5段階の成熟度、規模・業種別の考え方を確認します。

よくある失敗は、文書がないことだけではありません。文書はあるのに守れない、法務が関与していない、手順が古い、例外管理がない、委託先が対象外、証跡が残らない、といった運用不備が大きなリスクになります。次の一覧は失敗と改善策を対比しているため、読者は自社で優先して直すべき箇所を読み取れます。

失敗例起きる問題改善策
基本方針だけで終わる顧客監査や事故対応で実施内容を説明できません。方針ごとに対策基準、手順、証跡を紐づけます。
高度すぎて守れない事故後に守れない規程が不利な証拠になり得ます。最低基準、重要情報向け強化基準、高リスク追加基準を分けます。
法務が関与していない個人情報、委託契約、懲戒、監視、海外法令が抜けやすくなります。法務、個人情報保護担当、購買、人事、内部監査を入れます。
手順が古い現場が信用せず、実際のシステム画面と合わなくなります。システム変更管理に手順改訂の確認を組み込みます。
例外管理がない非公式な回避運用が積み上がり、監査できません。理由、対象、期間、代替策、残存リスク、承認者、再評価日を記録します。
証跡が残らない実施した説明が口頭に留まります。チケット、承認ログ、台帳、ログ、教育記録、契約書、議事録を残します。

成熟度は一気に最高水準を目指すのではなく、自社のリスクに見合う最低限の管理から始め、証跡と改善を積み上げます。次の表は5段階の状態を示しているため、読者は現在地と次の改善を読み取れます。

レベル状態典型的な問題次の改善
1文書なし属人的で、事故時に混乱します。基本方針と最低限の対策基準を作ります。
2基本文書あり実施手順と証跡が弱い状態です。重要領域の手順と台帳を整備します。
3三階層あり部門差や例外管理不足が残ります。RACI、例外管理、監査を導入します。
4運用・監査あり継続改善が不十分になりがちです。KPI、教育、訓練、委託先管理を強化します。
5経営統合事業、契約、M&Aとの統合が課題です。経営指標、サプライチェーン、国際規制対応を高度化します。

中小企業では、基本方針1〜2ページ、対策基準10〜30ページ程度、実施手順はチェックリスト、台帳、緊急連絡先、委託先一覧、クラウド利用ルールから始める方法が現実的です。上場企業、規制業種、グローバル企業では、取締役会報告、J-SOX、業種別付則、越境移転、ローカル付則を強化します。

Section 10

セキュリティポリシー三階層の策定チェックリスト

基本方針、対策基準、実施手順、監査証跡の確認項目をまとめます。

チェックリストは、本文で整理した三階層の抜け漏れを最終確認するために使います。次の一覧は、基本方針、対策基準、実施手順で確認すべき項目をまとめているため、読者は自社文書のレビューや監査前点検に利用できます。

基本方針

経営承認と方針項目

経営者承認、目的、適用範囲、情報資産、法令・契約遵守、責任者、教育、委託先、インシデント、継続的改善、違反時措置、改訂日、承認者、主管部門を確認します。

対策基準

管理策の網羅性

情報資産、情報分類、アクセス、特権ID、個人情報、営業秘密、クラウド、委託先、インシデント、バックアップ、ログ、脆弱性、開発、教育、例外、監査を確認します。

実施手順

現場運用と証跡

担当者、承認者、期限、フォーム、台帳、証跡、例外、エスカレーション、法務・個人情報保護・広報・外部専門家への連絡条件、画面との一致、改訂履歴、教育組込みを確認します。

監査・点検では、実際に記録があるかが重要です。次の一覧は運用証跡の例を並べているため、読者は「規程がある」だけではなく「実施したことを後から示せる」状態になっているかを確認できます。

アクセス管理の証跡

アカウント申請、承認、設定記録、棚卸、退職者削除、特権IDログ、是正記録を確認します。

委託先管理の証跡

委託先台帳、セキュリティ評価票、契約条項、再委託承認、定期確認、事故通知テンプレートを確認します。

教育・訓練の証跡

受講者、日時、教材、テスト結果、未受講者対応、訓練記録、改善記録を確認します。

インシデント対応の証跡

初報、続報、ログ保全、影響範囲、原因分析、当局報告、本人通知、公表判断、再発防止策を確認します。

Section 11

セキュリティポリシー三階層の策定に関するよくある質問

法務・監査・現場運用で迷いやすい点を一般情報として整理します。

FAQでは、個別事案への法律判断ではなく、一般的な制度・実務上の考え方を整理します。各回答は、事故態様、取扱データ、契約、業種、証拠関係によって結論が変わる可能性がある点を前提に読んでください。

セキュリティポリシー三階層の策定は法律上いつも必須ですか。

一般的には、三階層という名称の文書作成をすべての企業に直接命じる一般法があるわけではありません。ただし、個人情報保護法上の安全管理措置、会社法上の内部統制、契約上のセキュリティ義務、業法上の管理義務、顧客監査、事故後の説明責任を考えると、三階層で整備することは実務上有効とされています。具体的な整備範囲は、業種、規模、取扱データ、契約内容に応じて専門家に確認する必要があります。

小規模企業でも三階層が必要ですか。

一般的には、小規模企業でも情報資産とリスクに見合うルールを持つことが重要とされています。ただし、文書量は簡素化できます。基本方針1ページ、対策基準10ページ程度、実施手順はチェックリストや台帳から始める方法もあります。具体的な水準は、個人情報、委託先、クラウド利用、顧客要求によって変わります。

IPAのサンプルをそのまま使えますか。

一般的には、IPAのサンプルは出発点として有用です。ただし、そのままでは自社の業務、委託先、クラウド、個人情報、顧客契約、海外展開、業法規制に合わない場合があります。責任者、承認者、証跡、例外管理、事故対応を自社向けに具体化する必要があります。

基本方針は社外公開するものですか。

一般的には、顧客、取引先、採用候補者、監査人への信頼形成のため、基本方針の概要を社外公開する企業があります。ただし、対策基準や実施手順には攻撃者に悪用され得る具体的な管理方法が含まれるため、社内限定または関係者限定にすることが多いです。

対策基準と実施手順の違いは何ですか。

一般的には、対策基準は「何を守るか」を定め、実施手順は「どう守るか」を定めます。例えば、対策基準では退職者アカウントの速やかな削除を定め、実施手順では人事からの通知、ITサービスデスクの作業、システムオーナー確認、チケット記録まで具体化します。

例外を認めない方が安全ですか。

一般的には、例外を一切認めない設計は現場の非公式な回避を生みやすいとされています。重要なのは、例外を可視化し、理由、対象、期間、代替策、承認者、残存リスク、再評価日を記録することです。個別の例外承認は、リスクの大きさに応じて専門家へ相談する必要があります。

監査では何を確認されますか。

一般的には、文書の存在だけでなく、承認、周知、運用、証跡、例外、改善が確認されます。アクセス管理では、規程、申請、承認、設定記録、棚卸、退職者削除、特権IDログ、監査指摘、是正記録が確認対象になります。

事故後に規程を作る意味はありますか。

一般的には、事故後の規程整備は再発防止策として意味があります。ただし、事故前に存在しなかった規程を事故前からあったように扱うことは避ける必要があります。事実関係を踏まえ、規程、教育、監査、技術対策へ反映することが重要です。

Reference

セキュリティポリシー三階層の策定の参考資料

公的機関、国際規格、実務フレームワークの資料名を整理します。

公的機関・国内資料

  • 国家サイバー統括室「政府機関等のサイバーセキュリティ対策のための統一基準群」
  • 経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
  • IPA「経営者が認識すべき3原則と指示すべき重要10項目」
  • IPA「中小企業の情報セキュリティ対策ガイドライン」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • e-Gov法令検索「会社法」および「会社法施行規則」

国際規格・実務フレームワーク

  • NIST「The NIST Cybersecurity Framework (CSF) 2.0」
  • ISO「ISO/IEC 27001:2022 Information security management systems」
  • Center for Internet Security「CIS Critical Security Controls Version 8.1」