情報セキュリティ対策をルール化する

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2024.9.13

（更新：2025.5.9）

〇情報セキュリティ対策をルール化し、従業員に明示していますか？

経営者が情報セキュリティ対策に関する「ポリシー」や「方針」を定めていたとしても、それに基づく「具体的なルール」が用意されていなければ、職場の従業員やスタッフの皆さんは都度、経営者の指示を仰がなければなりません。

情報セキュリティ対策の方針を制定したら、

従業員やスタッフの皆さんが主体的に判断・行動ができ、情報セキュリティ対策がとれるよう、方針に基づく企業や職場のルールを明文化し、いつでも参照できるようにしておきましょう。

〇対策例

・IPA（独立行政法人情報処理推進機構）が中小事業者向けに一般公開する「情報セキュリティハンドブック（ひな形）」を導入。カスタマイズして自社向けルールを作成。全従業員やスタッフに公開・配付する等して各人が実施に取り組む。

（「情報セキュリティハンドブック（ひな形）」は、IPAの「中小企業の情報セキュリティ対策ガイドライン」のページに「付録４」として登録されており、誰でもダウンロードが可能です。）

　https://www.ipa.go.jp/security/guide/sme/about.html

・テレワークを実施する企業・職場ではテレワーク時のルールもまとめ、同様に公開・配付する等して実施に取り組む。

・一度決めたルールでも定期的に見直し、不備や問題点を継続的に改善する。

等

＊上記は、IPA（独立行政法人情報処理推進機構）発行の以下の文書を参考に、筆者の意見も加えて構成しました。

・「5分でできる！情報セキュリティ自社診断」Ver.5.４・設問No.25及び解説

＊「5分でできる！情報セキュリティ自社診断」は、IPAの「中小企業の情報セキュリティ対策ガイドライン」のページに「付録３」として登録されており、誰でもダウンロードが可能です。

　https://www.ipa.go.jp/security/guide/sme/about.html

〇制定したルールは定期的に見直して、実務にフィットさせましょう

経営環境の変化などから、情報セキュリティ「ポリシー」「方針」が一部なりとも改定される可能性は、3年程度のスパンで見ていますと、かなりの確率であるものと思います。

「ポリシー」「方針」が改定されれば、それに基づく具体的なルールにもある程度の改定が必要になる可能性が高いと思います。

また、一度制定したルールも、実務との整合性を常に確認し、無理や無駄などに手直しを加える必要があります。

制定した情報セキュリティルールは、定期的に（＝少なくとも年に一度は）「点検する」機会を設け、常に「ポリシー」「方針」そして実務にフィットし、有効なルールであるよう、継続的改善にも取り組みましょう。

（Primary-f／向実庵　代表）

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

詳しくはこちらよりお入りください。