ISMS(ISO27001)適用宣言書とは?記載例と事例を解説

セキュリティニュース

投稿日時: 更新日時:

ISMS(ISO27001)適用宣言書とは?記載例と事例を解説

ISMSとは、ISO/IEC27001という規格に沿って情報セキュリティを管理する体制、仕組みのことです。このISMSには、第三者である認証機関が、その体制や仕組みを評価して規格に適合していることを証明する、適合性評価制度があります。

ISMS認証については、こちらの記事で詳しく解説しています。

近年は、サイバー攻撃の増加や取引要件の変化を背景に、このISMS認証を取得する組織が増加しています。

本記事では、ISMS認証を取得するために作成が必須となる適用宣言書について、詳しく解説します。

適用宣言書とは何か

ISMS(ISO/IEC 27001)における適用宣言書(Statement of ApplicabilitySoA)とは、組織がISMSの取り組みの中でどの情報セキュリティ管理策を採用し、どのような方針で運用していくのかを明確に示した文書のことです。情報セキュリティマネジメントシステムの中でも特に重要な文書であり、認証を取得する際には必ず作成が求められます。

この文書の目的は、組織がどのようなリスクに対して、どのような管理策を講じているのかを整理し、その範囲と方針を明示することにあります。たとえば、どの管理策を適用するのか、どの管理策を除外するのかという採否に加えて、その判断の根拠となる理由も記載します。こうすることで、組織内外の関係者が同じ基準で情報セキュリティを理解・運用できるようになります。

ISO/IEC 27001:2022では、附属書A93項目の管理策の一覧が示されています。組織はこれらの中から自社の業務やリスク環境に応じて必要なものを選び、適用の有無を判断していきます。

適用宣言書は、この判断の結果を一元的にまとめたリスク対応方針の一覧表と言え、同時にISMS運用の基準点としての役割も果たします。事業内容やシステム構成が変われば、管理策の見直しが必要になるため、定期的な更新を通じて現状に即した内容を維持することが大切です。

このように適用宣言書は、一度作って終わりではなく組織のセキュリティ運用を状況を示す重要な文書であることを、あらかじめ理解しておかなければなりません。

記載するべき内容

適用宣言書に必ず含めるべき基本的な要素は、93の管理策、それらの適用・非適用の判断、除外・適用の理由、そして実施の有無の4つです。 ISO/IEC 27001:2022の附属書Aには、情報セキュリティリスクに対応するための93の管理策が定められています。組織はこれらのすべてを一度検討し、自社の業務やリスク環境に照らして、どの管理策を採用するのか、あるいは除外するのかを判断します。除外する場合は、「該当する業務が存在しない」「クラウド環境を利用していない」といった具体的で妥当な理由を明示することが求められます。

さらに、各管理策については実施の有無を記載します。これは、採用を決めた管理策がすでに実施されているのか、または将来的に実施予定なのかを区別するためです。たとえば、体制上は管理策を採用しているものの、実際の運用はこれから開始する段階にある場合など、現状を正確に示すことができます。こうした実施状況の明示は、ISMSの成熟度を把握し、改善の優先度を判断するうえでも重要な情報になります。

また、附属書A93項目に加えて、組織が独自に設定した管理策を追記することも可能です。たとえば、クラウドサービス特有の設定管理や、生成AIの利用ルールなど、標準の管理策ではカバーしきれないリスク領域を補うことができます。

作成の流れ

適用宣言書の作成は、次の手順で進めます。

  1. リスクアセスメントの実施
  2. リスク対応の整理
  3. 附属書Aとの照合
  4. 管理策の採否判断
  5. 理由と実施有無の記載

この流れを踏まえたうえで、自社の業務内容やリスク評価の結果をもとに、どの管理策を採用するのかを一貫した基準で判断していくことが重要です。ISO/IEC 27001が求める作成の順序としては、まずリスクアセスメントを実施します。ここで自社の情報資産、脅威、脆弱性を洗い出し、どのリスクにどのような対応が必要かを整理します。

次に、そのリスク対応の内容を附属書Aの管理策と照らし合わせ、必要な対策に漏れがないかを確認します。これにより、規格で求められている観点と自社の実情を突き合わせ、採用すべき管理策を客観的に判断することができます。そのうえで、附属書Aの各管理策に対して「適用したのか」「除外したのか」を明示し、それぞれの理由と実施の有無を記載していきます。将来的に実施予定のものについても現時点の判断を示しておくことで、審査時の説明や運用改善の基礎として活かすことができます。

管理策の採否を判断する際の考え方には、大きく2つのパターンがあります。ひとつは、すでに文書やルールが整備されているため適用するという考え方です。たとえば、アクセス管理や持ち出し制限など、既に社内規程として運用されている対策が該当します。もうひとつは、リスク対応として必要だから新たに適用するという考え方です。リスクアセスメントの結果、十分な対策が取られていない分野に対し、附属書Aの管理策を採用して今後整備を進める、というパターンです。

どちらのアプローチも正しい判断ですが、重要なのは「なぜその管理策を採用または除外したのか」を明確に説明できることです。採否の根拠を整理しておくことで、審査時の確認や運用見直しの際にも、一貫した基準で判断を行うことができます。

また、前述の通り、自社のリスク対応上必要と判断した場合には、附属書A93項目に含まれない独自の管理策をあわせて追加します。実際には、独自の管理策を追加していても適用宣言書には記載せず運用されるケースが多いのが実情です。必須の要素ではありませんが、関係者間で共通認識を持つためにも、独自管理策の追加は検討しておくとよいでしょう。

これらの項目を整理しながら、全体として抜けのない構成に仕上げることが、適用宣言書作成の基本的な流れです。

実際の適用宣言書

適用宣言書は、求められた場合に関係者へ開示する必要がある文書です。通常は外部に提示する義務はありませんが、一部の組織では透明性を重視し、公式ホームページ上で公開しているケースもあります。

カモ井加工紙株式会社では、情報セキュリティ方針のページでマニュアルと併せて適用宣言書を公開しており、誰でもダウンロードできるようになっています。この適用宣言書は少し特徴的で、文書の冒頭で適用しなかった管理策とその理由をまとめて記載しています。このように、管理策ごとに理由を並列で記載する方法もあれば、冒頭でまとめて整理する方法もあります。

また、SDホールディングスグループでも、情報セキュリティ方針のページにマニュアルや規程と併せて適用宣言書を公開しています。内容は旧版である2013年版をベースにしているため、管理策の構成が最新の規格とは異なりますが、管理策・採否・実施・理由4要素がしっかり含まれています。加えて、関連文書の該当箇所を示す構成になっており、採用した管理策をどこで、どのようにルール化しているかが明確に示されています。

このように、適用宣言書の形式や構成は組織によってさまざまです。規格上の形式的な指定はないため、どこまでの情報を含めるか、どのように整理するかは、自社の目的や運用方針に合わせて検討するとよいでしょう。

まとめ

適用宣言書は、ISMSの中で、リスク対応の方針と根拠を明確に示す重要な文書です。

93の管理策の中から自社に必要なものを選定し、その採否と理由、実施状況を整理することで、組織としてどのようにリスクを管理しているかを説明できるようになります。

この文書は、審査に向けた提出資料というだけでなく、情報セキュリティ運用の基準点として機能します。事業内容やシステム構成、委託範囲などが変化すれば、管理策の見直しが必要になります。定期的な更新を通じて、常に現状を反映した内容を保つことが、ISMSの有効性を維持するうえで欠かせません。

また、適用宣言書の作成を通じて、自社のセキュリティ対策を客観的に見直す機会にもなります。採否の判断理由を整理するプロセスは、組織のリスク理解を深め、管理策の優先度や運用改善の方向性を明確にすることにつながります。

単なる審査対応にとどまらず、自社の状況把握の一環として活用することを検討してみましょう。