セキュリティ規程が必要な理由
情報セキュリティ対策は技術的な対策だけでは不十分です。「人」と「組織」のルールを明文化した規程がなければ、従業員が何をすべきか(何をしてはいけないか)が曖昧になり、セキュリティインシデントの原因となります。
IPAの調査によると、情報セキュリティインシデントの原因の多くは「ルールの不備」や「従業員の不注意」であり、技術的な脆弱性よりも組織的な対策の欠如が深刻です。
規程の三層構造
| 階層 | 文書 | 内容 | 対象者 |
|---|---|---|---|
| 第1層 | 基本方針(ポリシー) | 経営層のセキュリティに対するコミットメント、基本的な方向性 | 全社 |
| 第2層 | 対策基準(スタンダード) | 具体的な管理策・ルール。何をすべきかを規定 | 管理者・情シス |
| 第3層 | 実施手順(プロシージャ) | 具体的な操作手順・設定手順。どうやるかを規定 | 担当者 |
必要な規程一覧
| 規程名 | 概要 | 優先度 |
|---|---|---|
| 情報セキュリティ基本方針 | 経営層の方針宣言 | 必須 |
| 情報資産管理規程 | 情報資産の分類・取扱いルール | 必須 |
| アクセス管理規程 | 認証・権限管理・パスワードポリシー | 必須 |
| 物理セキュリティ規程 | 入退室管理、クリアデスク、持出し制限 | 必須 |
| インシデント対応規程 | セキュリティ事故発生時の対応手順 | 必須 |
| 外部委託管理規程 | 業務委託先のセキュリティ管理 | 高 |
| テレワークセキュリティ規程 | リモートワーク時のルール | 高 |
| 個人情報保護規程 | 個人情報の取扱いルール | 高 |
| 教育訓練規程 | セキュリティ教育の実施ルール | 中 |
| 事業継続計画(BCP) | 災害・重大インシデント時の事業継続 | 中 |
策定手順
- 推進体制の構築:情報セキュリティ責任者(CISO)の任命、策定チームの組成
- 現状把握:情報資産の洗い出し、既存ルールの確認、リスクの識別
- 基本方針の策定:経営層の承認を得て基本方針を確定
- 対策基準の策定:IPAの「中小企業の情報セキュリティ対策ガイドライン」をベースに作成
- 実施手順の作成:IT部門が具体的な設定手順、運用手順を文書化
- 従業員教育:全従業員への周知・教育の実施
- 承認・施行:経営層の承認を経て正式施行
規程の主要項目
アクセス管理規程の例
- パスワードポリシー:最低12文字以上、多要素認証の必須化
- アカウント管理:入社時の発行・退職時の即日無効化ルール
- 権限管理:最小権限の原則、定期的な権限棚卸し
- 特権アカウント管理:管理者アカウントの利用制限、操作ログの取得
インシデント対応規程の例
- 報告ルール:発見者→情シス→経営層への報告フロー
- 初動対応:ネットワーク切断、証拠保全、影響範囲の特定
- 外部連絡:個人情報保護委員会、警察、取引先への通知基準
- 再発防止:原因分析、対策の実施、規程の見直し
運用と見直し
- 年1回の定期見直し:法改正、組織変更、新たなリスクに対応
- インシデント発生時の臨時見直し:事故の教訓を規程に反映
- 内部監査:規程通りに運用されているかを定期的に確認
BTNコンサルティングの支援
情報セキュリティ規程の策定支援、テンプレート提供、従業員向けセキュリティ研修を提供しています。
💡 あわせて読みたい
まとめ
情報セキュリティ規程は「基本方針→対策基準→実施手順」の三層構造で策定します。IPAのガイドラインをベースに自社の業務に合わせてカスタマイズし、策定後は年1回の定期見直しで実効性を維持しましょう。