情報セキュリティポリシーとは?基本方針や土台となる3つの要素、事例を紹介
企業や組織の情報資産を安全に守るためには、情報セキュリティポリシーの策定が不可欠です。情報セキュリティポリシーとは、情報セキュリティに関する方針や行動指針をまとめたものです。
ポリシーを策定し適切に運用すれば、情報セキュリティに対する従業員の意識向上、取引先や顧客からの信頼性の向上、セキュリティインシデントの発生防止など、さまざまなメリットが見込めます。
そこで今回は、情報セキュリティポリシーの内容や運用方法、各企業が策定する例文について解説します。ポリシーの策定を考えている方、もしくはポリシーの運用方法について知りたい方は、ぜひ本記事を最後までご覧ください。
目次
[ 開く ]
[ 閉じる ]
- 情報セキュリティポリシーとは?
- 策定する目的
- 基本方針のサンプル
- 情報セキュリティポリシーの内容|3つの基本階層
- 基本方針
- 対策基準
- 実施手順
- 情報セキュリティの3要素とは|ポリシー策定の土台となる考え方
- 機密性(Confidentiality)
- 完全性(Integrity)
- 可用性(Availability)
- 情報セキュリティポリシーを策定するメリット
- 情報セキュリティに対する従業員の意識向上
- 取引先や顧客からの信頼性の向上
- セキュリティインシデントの発生防止
- 情報セキュリティポリシーの策定手順|5つのステップ
- ステップ1:体制の構築
- ステップ2:策定スケジュールの決定
- ステップ3:基本方針の策定
- ステップ4:情報資産の洗い出し・リスクの分析
- ステップ5:対策基準と実施内容の策定
- 情報セキュリティポリシーを作成する際の3つのポイント
- 保護する情報資産を明確にする
- 具体的なポリシーを策定して社内全体に周知する
- 適用対象者の範囲を決める
- 情報セキュリティポリシー策定後に必要な社内教育
- 情報セキュリティポリシーの運用方法
- 情報セキュリティポリシーとISMSの関係性
- 情報セキュリティポリシーの例文|大手企業3社の事例
- GMOインターネットグループ株式会社
- ソフトバンク株式会社
- KDDI株式会社
- まとめ
情報セキュリティポリシーとは?
情報セキュリティポリシーとは、情報セキュリティに関する方針や行動指針をまとめたものです。企業や組織が情報資産を安全に守るため、情報セキュリティポリシーとして基本方針や情報セキュリティへの対策基準、実施手順などを策定します。
情報セキュリティポリシーの内容は全ての組織で同一ではなく、企業が持つ情報や組織の規模、体制に応じて策定する必要があります。組織の状況を加味して内容を作成することで、情報資産に対して高いセキュリティ効果が見込めるのです。
なお、総務省の「情報セキュリティポリシーの概要と目的」では、情報セキュリティポリシーの定義を「企業や組織において実施する情報セキュリティ対策の方針や行動指針のこと」としています。
【関連記事】情報セキュリティとは|基本の3要素と4つの追加要素・企業が行うべき対策
策定する目的
情報セキュリティポリシーを策定する目的は、企業や組織の情報資産をさまざまな脅威から守ることにあります。情報セキュリティポリシーの導入を通じて、社員や従業員の意識が向上すれば、結果的に情報セキュリティに関する脅威の対策に繋がります。
つまり、情報セキュリティポリシーは社内の限られた従業員だけが認知すれば良いというわけではなく、社内全体でその意識を持つことが大切です。組織の情報資産を共有する全ての従業員が知ることで、初めて情報セキュリティポリシーの目的が果たされます。
基本方針のサンプル
総務省の「中小企業の情報セキュリティ対策ガイドライン」では、中小企業向けの情報セキュリティ基本方針が公開されています。このサンプルを参考にすれば、企業の情報セキュリティポリシーを手軽に策定することが可能です。記載されているサンプルは以下の通りです。
株式会社○○○○(以下、当社)は、お客様からお預かりした/当社の/情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。
- 経営者の責任
- 社内体制の整備
- 従業員の取組み
- 法令及び契約上の要求事項の遵守
- 違反及び事故への対応
制定日:20○○年○月○日
株式会社○○○○
代表取締役社長 ○○○○
※ 一部省略
サンプルの詳細や概要については、総務省の「中小企業の情報セキュリティ対策ガイドライン」をご確認ください。
情報セキュリティポリシーの内容|3つの基本階層
情報セキュリティポリシーには以下3つの基本階層があります。これらは、総務省の「情報セキュリティポリシーの内容」で定められているものです。以下、「基本方針」「対策基準」「実施手順」の3つの階層をそれぞれ解説します。
基本方針
基本方針には、情報セキュリティに対する組織や企業の基本方針・宣言を記述します。セキュリティ対策における根本的な考えになるため、情報セキュリティポリシーの中でも特に重要な階層です。
また、基本方針は企業のホームページなどに掲載され、第三者がその内容を確認することができることから、「企業の信頼性を保つ」という役割も担います。
対策基準
対策基準には、基本方針を実践するための対策内容を記述します。この対策基準に則り、社内で情報セキュリティに対する取り組みを行います。
例えば、セキュリティ対策ソフトを導入する、従業員の情報リテラシーを向上させるなどの内容が挙げられます。対策基準はあくまで対策する内容までにとどめ、より具体的なアクションについては実施手順で取り決めましょう。
実施手順
実施手順には、実際に情報セキュリティ対策を行う手順やその内容を明確にします。実施手順を基に対策を行うため、わかりやすくて実践しやすい内容が求められます。
▼実施手順に記述する内容の一例
- セキュリティ対策ソフトの具体的な導入方法
- 従業員の情報リテラシーを向上させるための講義内容
- ハードウェアやソフトウェアの管理規定
実施手順では、内容を講じる対象者や用途に応じて手続きを明確にする点がポイントとなります。
情報セキュリティの3要素とは|ポリシー策定の土台となる考え方
情報セキュリティポリシーを正しく策定するには、まず「情報セキュリティ」の根幹にある考え方を押さえておく必要があります。
情報セキュリティは、「機密性」「完全性」「可用性」という3つの要素から構成されており、この3要素はISO/IEC 27000シリーズでも定義されている国際的な共通概念です。ポリシーを策定する際も、この3要素を意識することで、どの情報資産をどのように守るべきかの方向性が明確になります。
- 機密性(Confidentiality)
- 完全性(Integrity)
- 可用性(Availability)
それぞれ詳しく見ていきましょう。
機密性(Confidentiality)
機密性とは、許可された人だけが情報にアクセスできる状態を維持することです。顧客の個人情報や社内の財務データが、権限のない第三者に閲覧されると、深刻な情報漏洩につながります。
これを防ぐ手段として、アクセス権限の適切な設定・パスワード管理・データの暗号化などが有効です。
機密性の侵害は情報漏洩やプライバシー違反として直接的な損害につながるため、ポリシーの中でも優先度の高い要素です。情報セキュリティポリシーでは、誰がどの情報にアクセスできるかのルールを明文化することが、機密性を担保するうえで欠かせません。
完全性(Integrity)
完全性とは、情報が正確かつ完全な状態で保たれていることを指します。データが改ざんされたり、誤って削除されたりすると、業務判断の誤りや取引先との信頼関係の毀損を招く可能性があります。
対策としては、ファイルの変更履歴管理・アクセスログの記録・承認フローの整備などが効果的です。「情報は正しいはずだ」という前提で業務が進むことが多いだけに、完全性が損なわれると被害に気づくまでに時間がかかるリスクも覚えておきましょう。
可用性(Availability)
可用性とは、必要なときに必要な情報へアクセスできる状態を維持することです。サイバー攻撃やシステム障害によってサービスが停止すると、業務継続に深刻な影響が出ます。バックアップの定期取得・システムの冗長化・災害時のBCP(事業継続計画)との連携が、可用性を高める主な手段です。
セキュリティ対策では機密性に注目が集まりがちですが、可用性の低下も重大なビジネスリスクになり得ます。3要素をバランスよく確保することが、実効性のある情報セキュリティポリシーの前提となります。
情報セキュリティポリシーを策定するメリット
情報セキュリティポリシーを策定することには、さまざまなメリットがあります。企業における情報セキュリティ対策を強化し、リスクを軽減するためにはポリシーの策定が欠かせません。以下、策定する3つのメリットを解説します。
- 情報セキュリティに対する従業員の意識向上
- 取引先や顧客からの信頼性の向上
- セキュリティインシデントの発生防止
各メリットの詳細を見ていきましょう。
情報セキュリティに対する従業員の意識向上
情報セキュリティポリシーを策定すると、従業員は情報セキュリティの重要性をより深く理解し、その意識が高まります。このプロセスを通じて、従業員はセキュリティに関する知識を身につけ、日常業務での安全な行動が促進されます。
例えば、社内研修を通じてセキュリティポリシーの内容を共有し、実践的なセキュリティ対策を徹底するなどが効果的です。
取引先や顧客からの信頼性の向上
明確な情報セキュリティポリシーを策定・公開することは、取引先や顧客に対して「自社は情報セキュリティを真剣に考えている」という姿勢を示す、有効なシグナルとなります。特に基本方針は企業のウェブサイトで一般公開されるため、外部からも内容を確認できる「信頼の証」として機能します。
さらに近年は、大企業や官公庁との取引・入札において、セキュリティポリシーの整備が条件として求められるケースが増えています。ポリシーの有無が受注機会に直結する場面もあることから、信頼性向上という観点だけでなく、ビジネス機会の確保という意味でも策定は重要な経営課題です。
セキュリティインシデントの発生防止
情報セキュリティポリシーの策定は、セキュリティインシデントの発生を未然に防ぐ効果があります。セキュリティインシデントとは、情報漏洩やシステムの不正アクセスなど、セキュリティ上のトラブルのことです。
適切なポリシーに基づいた対策を実施し、高度なセキュリティ環境を構築すれば、これらのリスクを大幅に抑えることができます。
情報セキュリティポリシーの策定手順|5つのステップ
「情報セキュリティポリシーを作りたいけれど、何から始めればいいかわからない」という担当者は少なくありません。策定には決まった手順があり、それに沿って進めることで、中小企業でも体系的に取り組めます。一般的には以下の5つのステップで進めるのが効果的です。
- ステップ1:体制の構築
- ステップ2:策定スケジュールの決定
- ステップ3:基本方針の策定
- ステップ4:情報資産の洗い出し・リスクの分析
- ステップ5:対策基準と実施内容の策定
順を追って解説します。
ステップ1:体制の構築
最初に行うのは、策定を推進するための社内体制づくりです。情報セキュリティ委員会を設置し、責任者(CISO:最高情報セキュリティ責任者など)を任命することで、策定作業を組織的に進められます。
特に重要なのは経営層のコミットメントです。現場だけでの取り組みではポリシーが形骸化しやすく、十分なリソースの確保も難しくなります。経営層がセキュリティを経営課題として認識し、責任を持って関与することが、策定を成功させる第一歩です。
ステップ2:策定スケジュールの決定
体制が整ったら、いつまでに何を完成させるかのスケジュールを策定します。「最初の3ヶ月で基本方針を策定し、次の2ヶ月で対策基準を整備する」といったマイルストーンを設けることで、進捗を管理しながら作業を進められます。
外部のコンサルタントや専門家に支援を依頼する場合は、連携スケジュールも事前に調整しておきましょう。スケジュールが曖昧なまま進めると策定が長期化しやすいため、現実的な工程設計が成否を左右します。
ステップ3:基本方針の策定
体制とスケジュールが固まったら、情報セキュリティに対する組織の基本姿勢・宣言を文書化します。基本方針は社外にも公開される最上位の文書であるため、自社の事業内容や規模に合わせた内容にすることが重要です。
総務省やIPAが公開しているサンプル文書を参考にしながら、自社実態に沿って書き換えると取り組みやすくなります。専門用語に偏りすぎず、従業員全員が理解できる平易な表現を心がけましょう。
ステップ4:情報資産の洗い出し・リスクの分析
次に、自社が保有する情報資産を網羅的に棚卸しします。顧客データ・財務情報・社内の機密書類・システムのアカウント情報など、守るべき対象を明確にすることがこのステップの目的です。
洗い出しが終わったら、各資産に対してどのような脅威(サイバー攻撃・内部不正・自然災害など)や脆弱性があるかを評価し、リスクの優先度を決めます。リスク分析を省くと対策が的外れになりやすく、実効性のないポリシーに終わるリスクがあるため、必ず実施してください。
ステップ5:対策基準と実施内容の策定
リスク分析の結果をもとに、守るべきルール(対策基準)と具体的な行動手順(実施手順)を文書化します。対策基準では「何をすべきか・してはならないか」を明記し、実施手順ではその具体的な方法と担当者を明確にします。
策定したポリシーは全従業員への周知・教育とセットで実施することが、効果を引き出すうえで欠かせません。文書を作って終わりにならないよう、展開・浸透のプロセスまで計画に組み込みましょう。
情報セキュリティポリシーを作成する際の3つのポイント
情報セキュリティポリシーは作成時に重要ポイントを押さえることで、企業にとってより効果的なものとなります。作成時の重要ポイントは以下の通りです。
- 保護する情報資産を明確にする
- 具体的なポリシーを策定して社内全体に周知する
- 適用対象者の範囲を決める
それぞれのポイントについて詳しく解説します。
保護する情報資産を明確にする
ポリシー策定の初歩として、保護する情報資産を明確に特定することが大切です。これには、顧客データや財務情報、社内の機密情報などが含まれます。
保護すべき資産を特定することで、対象範囲が明確となり、セキュリティ対策を適切に実施できるようになります。例えば、重要な情報が含まれるデータベースの特定や、機密性の高い書類の管理方法などが挙げられます。
具体的なポリシーを策定して社内全体に周知する
2つ目のポイントは、具体的なポリシーを策定して社内全体に周知することです。一部の従業員だけが認知するのではなく、その具体的なポリシーを全体に共有することで、より高度なセキュリティ環境を構築できます。
▼情報セキュリティポリシーの主な共有方法
- 定期的に社内ミーティングを行う
- 情報セキュリティに関する社内研修を開く
これらの手段でパスワード管理やデータの取り扱い方法、セキュリティ違反の報告手順などを共有すれば、業務手順がブラックボックス化することなく、社内全体で業務の統一化を図れます。
適用対象者の範囲を決める
ポリシーの適用対象者とその範囲を明確にすることは、ポリシーの有効性を高めるために重要です。適用対象者には、全従業員や協力会社、ときには顧客が含まれる場合もあります。
例えば、全従業員に対して同じセキュリティ基準を適用する場合や、特定の部門に特化したポリシーを適用する場合など、状況に応じて範囲を設定します。対象者の範囲設定は、ポリシーの効果を決定づけるものなので慎重に行いましょう。
情報セキュリティポリシー策定後に必要な社内教育
情報セキュリティポリシーを策定しただけでは、現場のセキュリティレベルはほとんど変わりません。ポリシーは「知らせる」だけでなく、従業員一人ひとりが「理解し、実践できる」状態にして初めて機能します。
そのために欠かせないのが、継続的な社内教育です。入社時のオリエンテーションでのポリシー説明はもちろん、年に1回程度の全社研修でポリシーを振り返る機会を設けましょう。eラーニングツールの活用や、部門ごとのリスクに特化した勉強会も効果的です。研修後に理解度テストやアンケートを実施すれば、内容の浸透度を数値で把握でき、次の改善サイクルに反映させることもできます。
人的ミスによる情報漏洩の多くは、知識不足や意識の低さから生じます。継続的な教育こそが、ポリシーを「実際に機能するルール」にするための最大の鍵です。
情報セキュリティポリシーの運用方法
情報セキュリティポリシーの効果的な運用には、継続的な管理と改善が不可欠です。特に以下のような点に注意して運用することが推奨されます。
【運用する上での重要点】
| 重要点 | 内容 |
|---|---|
| 定期的なレビューと評価 | 情報セキュリティポリシーは一度策定した後も定期的にその効果と適切性をレビューし、必要に応じて改善を加える必要があります。セキュリティ環境の変化や新たな脅威への対応を考慮に入れ、年に1度など決められた頻度でレビューを行います。 |
| 改善策の実施 | レビューで特定された課題に対して、具体的な改善策を策定して実施します。これには、技術的な対策の導入、従業員の教育プログラムの強化、通信プロトコルの見直しなどが含まれます。 |
| PDCAサイクルの適用 | 情報セキュリティポリシーの運用は、PDCAサイクルに基づいて行われるべきです。計画(Plan)、実行(Do)、評価(Check)、行動(Action)の各フェーズを通じて、ポリシーを継続的に更新します。 |
情報セキュリティポリシーの運用は、組織のセキュリティレベルを向上させるために重要な役割を果たします。定期的なレビューと改善、PDCAサイクルの適用により、ポリシーを効果的に運用し、組織のセキュリティ対策を強化することが大切です。
情報セキュリティポリシーとISMSの関係性
情報セキュリティポリシーを整備していると「ISMS」という言葉を目にすることがあります。ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、情報セキュリティを組織的・継続的に管理・改善するための仕組みのことで、ISO/IEC 27001として国際規格が定められており、第三者機関による認証取得が可能です。
情報セキュリティポリシーの策定はISMS認証取得に向けた要件のひとつであり、認証取得の第一歩とも言えます。ISMS認証を取得することで、セキュリティ管理の水準を客観的に証明でき、大企業や官公庁との取引要件を満たすうえでも有利に働きます。
まずポリシーを整備・運用し、その延長線上でISMS認証の取得を検討するという流れが、多くの企業にとって現実的なアプローチです。
情報セキュリティポリシーの例文|大手企業3社の事例
最後に、情報セキュリティポリシーの例文を3つ紹介します。企業が策定したポリシーを確認することで、そのイメージがより明確になるはずです。
GMOインターネットグループ株式会社
GMOインターネットグループ株式会社では、「情報セキュリティへの取り組み」で情報セキュリティポリシーを公開しています。このページでは「ISO27001認証取得について」から始まり、「認証取得情報」や「情報セキュリティ基本方針」まで掲載しています。
【ISO27001認証取得について】
GMOインターネットグループ株式会社は、企業向けクラウドサービスにおいて、情報資産をさまざまな脅威から守り、リスクを軽減させるため、情報セキュリティマネジメントシステム(ISMS)を構築し、国際標準規格であるISO27001 の認証取得をしております。
【情報セキュリティ基本方針】
基本理念
GMOインターネットグループ株式会社(以下、「当社」)は、お預かりするお客様の情報資産及び当社の事業遂行にかかわる情報資産について、厳正に保護することを社会的責任と認識し、これを守るために社内に情報セキュリティマネジメントシステムを確立し、運用し、見直し、維持及び改善します。
方針
- 情報セキュリティの目的
- 準拠法等
- 維持管理体制
- 情報セキュリティの教育、訓練及び意識向上
- 定期的な見直しと継続的な改善
制定日:2017年1月1日
GMOインターネットグループ株式会社
グループ副社長執行役員 山下 浩史
※一部省略
詳しい内容については、GMOインターネットグループ株式会社の「情報セキュリティへの取り組み」をご確認ください。
ソフトバンク株式会社
ソフトバンク株式会社では「情報セキュリティポリシー」のページで、情報セキュリティポリシーの概要と運用・対象・附則が掲載されています。掲載されている主な内容は以下の通りです。
【情報セキュリティポリシー】
ソフトバンク株式会社(以下「当社」)は、情報漏えいリスクに対し抜本的、かつ高度な対策を講じることにより、お客さまをはじめ社会からの信頼を常に得られるよう、「情報セキュリティポリシー」を策定しました。
【情報セキュリティポリシーの運用】
- 情報セキュリティ管理体制の構築
- 「最高情報セキュリティ責任者」の配置
- 情報セキュリティに関する内部規程の整備
- 監査体制の整備・充実
- 情報セキュリティ対策を徹底したシステムの実現
- 情報セキュリティリテラシーの向上
- 業務委託先の管理体制強化
【情報セキュリティポリシーの対象】
当ポリシーが対象とする「情報資産」とは、当社の企業活動において入手および知り得た情報ならびに当社が業務上保有する全ての情報とし、この情報資産の取り扱いおよび管理に携わる当社の「役員、社員、派遣社員等」および当社の情報資産を取り扱う「業務委託先およびその従業員」が順守することとします。
【附則】
この情報セキュリティポリシーは、2006年12月25日から施行します。
※一部省略
詳しい内容については、ソフトバンク株式会社の「情報セキュリティポリシー」をご確認ください。
KDDI株式会社
KDDI株式会社では「セキュリティポリシー」として、その内容を11項目に分けて掲載されています。区分されている項目は以下の通りです。
- 目的
- セキュリティポリシーなどの公開
- 適用範囲
- 情報セキュリティ管理体制
- 情報セキュリティ対策の実施
- 情報セキュリティに関する社内規定の整備
- 情報セキュリティ教育の実施
- 適切な業務委託先管理の実施
- 法令などの遵守
- 情報セキュリティ内部監査の実施
- 継続的改善の実施
各項目の詳しい内容については、KDDI株式会社の「セキュリティポリシー」をご確認ください。
まとめ
情報セキュリティポリシーは、企業が情報資産を守るための基盤となる文書です。「基本方針」「対策基準」「実施手順」の3層構造を理解したうえで、機密性・完全性・可用性という3要素を軸に策定することで、自社の実態に即した実効性の高いポリシーが生まれます。
策定は体制構築から始まり、情報資産の棚卸し・リスク分析・ルールの文書化という5つのステップで進めていくことが大切です。作成して終わりではなく、社内教育による浸透とPDCAサイクルを通じた定期的な見直しが、組織のセキュリティレベルを継続的に高めます。
GMOインターネットグループでは、パスワードの漏洩やWebの侵入リスクなどを無料で診断できるサービス「GMO セキュリティ24」を提供しています。また、ネット利用に関するご不安にも無料でお答えしていますので、お気軽にご相談ください。
文責:GMOインターネットグループ株式会社
