「情報セキュリティポリシー」という言葉は、文脈によって指す範囲が異なります。最上位の基本方針のみを指す場合もあれば、関連する規程・手順書を含めた文書体系全体を指す場合もあります。
本記事では、情報セキュリティポリシーの3階層構造を整理したうえで、最上位の基本方針が果たすべき目的と、そこに明記しておくべき事項を解説します。方針と下位の規程・対策との関係についても、実務的な観点から説明します。
目次
情報セキュリティポリシーの3階層構造
情報セキュリティポリシーは、一般的に以下の3階層で構成されます。
基本方針(ポリシー)
基本方針(ポリシー) は、組織としての情報セキュリティに対する基本的な考え方や姿勢を示す文書です。経営層の意思表明として位置づけられ、なぜ情報セキュリティに取り組むのか、何を守るのか、どのような方向性で取り組むのかを宣言します。対外的な公開を前提とすることも多いです。なお、単に「ポリシー」と言われる場合は、この基本方針を指していることがほとんどです。
対策基準(スタンダード)
対策基準(スタンダード) は、基本方針を実現するために、組織として守るべきルールを具体化した文書です。「何を、どのレベルで実施するか」を定めます。たとえば、アクセス制御の基準、パスワードの要件、データ分類の基準などが該当します。
実施手順(プロシージャ)
実施手順(プロシージャ) は、対策基準を現場で実行するための具体的な手順書です。「誰が、いつ、どのように実施するか」を定めます。システムごとの設定手順、インシデント発生時の連絡フローなどが該当します。
「情報セキュリティポリシー」という言葉が最上位の基本方針のみを指すのか、3階層全体を指すのかは、組織や文脈によって異なります。本記事では、狭義のポリシー(基本方針)と広義のポリシー(3階層全体)を区別しながら、特に基本方針の役割に焦点を当てます。
基本方針の役割とは
実際のセキュリティ施策の方向性は、社内の文化や経営層の姿勢、担当者間の日常的なコミュニケーションの中で、ある程度共有されていることが多いものです。担当者が方針文書を開いて「うちの方針はこうだから、この対策を選ぼう」と判断する場面は、現実にはほとんどありません。
では、基本方針を文書化する意味はどこにあるのでしょうか。主に以下の3つの役割があります。
暗黙知の明文化
社内で暗黙的に共有されているセキュリティの方向性を、文書として残すことに意味があります。担当者が交代したとき、組織が拡大したとき、拠点が増えたときに、「うちはどういう方針でやっているのか」がブレないようにするためです。新しいメンバーがチームに加わった際のオンボーディングでも、方針文書があれば共通認識を持ちやすくなります。
対外的な説明根拠
ISMS(ISO/IEC 27001)の認証審査、取引先から送られてくるセキュリティチェックシート、経営層への報告など、対外的に「なぜこの対策レベルなのか」を説明する場面があります。こうしたとき、方針文書を根拠として示せることが重要です。経営層が署名・承認した方針があることで、セキュリティ対策が組織としての意思決定に基づいていることを示せます。
整合性検証の基準
個別の対策基準や実施手順を策定した後、それらが組織の方向性と矛盾していないかを確認する際の基準になります。方針は「判断の入口」というよりも、「検証のための基準」として機能します。新しいルールを作ったとき、既存のルールを見直すときに、方針に立ち返って整合性を確認できることが重要です。
形骸化しやすい方針のパターン
一方で、基本方針が上記の役割を果たせず、形骸化しているケースも少なくありません。よくあるパターンとしては、テンプレートをそのままコピーしただけで自社の実態に合っていない方針、CIAの優先順位やリスク許容度が曖昧で判断基準として使えない方針、経営層の承認が形式的で実質的なコミットメントがない方針などがあります。こうした方針は、審査や監査の場で「御社の方針に基づくとこの対策はどう説明できますか」と問われたときに答えに窮することになります。
方針に明記しておくべき事項
基本方針が上記の役割を果たすためには、抽象的な宣言にとどまらず、以下の事項を明記しておく必要があります。
保護すべき情報資産の範囲と分類
どのような情報を保護対象とするのか、その範囲を定めます。顧客情報、従業員情報、技術情報、財務情報など、組織が扱う情報資産を洗い出し、重要度に応じた分類基準を示します。
担当者間では「この情報は重要」という認識が共有されていても、審査や取引先対応で「御社は何を守る方針ですか」と問われたときに、明文化されていなければ説明に困ります。また、担当者が交代した際に、保護対象の認識がズレるリスクも防げます。
機密性・完全性・可用性(CIA)の優先順位
情報セキュリティの3要素である機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)のうち、組織としてどの要素を重視するかを示します。業種や事業特性によって優先順位は異なります。
たとえば、医療機関では患者の生命に関わるため可用性が極めて重要になる場面がある一方、患者情報の機密性も同様に重視されます。金融機関では取引データの完全性が最優先される場面が多いです。製造業では技術情報の機密性が競争力の源泉となります。
この優先順位は、日常業務の中で暗黙的に共有されていることが多いですが、明文化しておくことで、組織拡大時や担当者交代時にも一貫した方向性を維持できます。
リスク許容度(対策の厳格さレベル)
どこまでのリスクを許容し、どこまでの対策を講じるかの方向性を示します。すべてのリスクをゼロにすることは現実的ではなく、コストや利便性とのバランスを取る必要があります。
「利便性を多少犠牲にしても厳格な管理を優先する」のか、「業務効率を維持しながら現実的な対策を講じる」のか。この方向性を明文化しておくことで、個別の対策基準を策定した後に「この厳格さは方針と整合しているか」を検証できます。
準拠すべき法令・規格
組織として準拠すべき法令、業界ガイドライン、認証規格を明示します。個人情報保護法、マイナンバー法、業界固有の規制(金融庁ガイドライン、医療情報システムの安全管理ガイドラインなど)、ISO/IEC 27001などが該当します。
外部監査や認証審査の場で「何に準拠しているか」を明示できることが重要です。また、対策基準の策定時に「ISMSの要求事項を満たしているか」といった観点での検証が可能になります。
方針と対策の整合性を確認する視点
方針に明記された内容と、実際の対策基準・実施手順が整合しているかを確認する際の視点を、2つの観点から具体例で示します。
CIAの優先順位との整合性
方針で機密性・完全性・可用性のどれを重視すると定めているかによって、対策の方向性が整合しているかを確認できます。
インシデント疑い発生時の対応:方針で機密性を重視すると定めているなら、インシデント対応手順は情報漏洩リスクを最小化するため、該当システムの即時遮断・隔離を基本とする設計になっているか確認が必要です。一方、可用性を重視する方針なら、縮退運転(機能を制限しながら稼働を継続)で業務を継続しつつ並行して調査を進める設計が整合しています。
バックアップ設計:機密性重視の方針なら、バックアップデータの暗号化、アクセス制限、保管場所の厳格な管理が対策基準に含まれているか。可用性重視の方針なら、復旧時間の短縮、冗長構成、リストア手順の簡素化が優先されているか。方針と照らし合わせて確認できます。
リスク許容度との整合性
方針で定めた厳格さのレベルと、個別の対策基準が整合しているかを確認できます。
リモートアクセス:厳格な管理を方針として掲げているなら、リモートアクセスは原則禁止、許可する場合もVPN接続かつ会社支給端末に限定といった対策基準が整合します。利便性とのバランスを重視する方針なら、多要素認証の導入を条件に私用端末からのアクセスも許可する基準でも整合します。
クラウドサービス利用:厳格管理の方針なら、クラウドサービスは原則禁止とし利用する場合は都度申請・審査を経る運用が整合します。バランス重視の方針なら、あらかじめ許可されたサービスのリスト(許可リスト)を整備し、リスト内のサービスは迅速に利用開始できる運用でも整合します。
監視範囲:厳格管理の方針なら、全通信ログを取得・分析し異常検知の網羅性を高める対策が整合します。バランス重視の方針なら、リスクの高い領域に絞って監視対象を設定し運用負荷を抑える対策でも整合します。
これらの視点で確認することで、方針と対策の間に矛盾がないか、また方針の見直しが必要かどうかを判断できます。
まとめ
情報セキュリティポリシーは、基本方針・対策基準・実施手順の3階層で構成されます。このうち最上位の基本方針は、暗黙知の明文化、対外的な説明根拠、整合性検証の基準という3つの役割を持ちます。
基本方針がこれらの役割を果たすためには、保護対象の範囲、CIAの優先順位、リスク許容度、準拠すべき法令・規格を明記しておく必要があります。そして、個別の対策基準や実施手順を策定・見直しする際に、方針との整合性を確認することが重要です。
自社の基本方針が「宣言」だけで終わっていないか、対策との整合性が取れているかを点検してみてはいかがでしょうか。








