情報セキュリティ基本方針（ポリシー）を雛形から作る方法

情報セキュリティ基本方針（ポリシー）とは？雛形から作っても“意味がある”理由

情報セキュリティ基本方針（セキュリティポリシー）は、会社が「情報をどう守るか」を社内外に宣言し、運用の基準にするための文書です。中小企業でも大企業でも、取引先から提示を求められたり、入札・監査・委託契約で確認されたりする場面が増えています。一方で「雛形を貼っただけ」になってしまうと、現場の行動が変わらず、事故時に説明できず、結局はリスクだけが残ります。

とはいえ、ゼロから書く必要はありません。雛形を出発点にして、会社の実態に合わせて“必要最小限で回る”セキュリティ方針に仕立てるのが現実解です。特に開発の専門知識がない担当者でも、業務の流れ（誰が、どの情報を、どこで扱うか）に沿って調整すれば、十分に実務で使える情報セキュリティ基本方針になります。

この方針が役立つ理由は3つあります。第一に、社員や委託先が迷わない「判断基準」になること。第二に、取引先に対して「組織として管理している」説明ができること。第三に、事故が起きた際に再発防止を仕組みで回す土台になることです。

なお、文書体系としては「基本方針（経営の宣言）」の下に、「対策基準（守るルール）」「手順書（やり方）」がぶら下がるイメージです。本記事はまず基本方針を雛形から作る方法に焦点を当て、必要に応じて最低限の運用（ルール・手順）に接続できるように説明します。

雛形を選ぶ前に整理する：自社の“守る対象”と“事故の起こり方”

雛形選びでつまずく一番の原因は、「自社に必要な項目がわからない」ことです。そこで、文章をいじる前に、まず現実を短時間で棚卸しします。これをやるだけで、雛形のどこを残し、どこを削り、どこを追記すべきかが見えてきます。

守る対象（情報資産）を3分類する

情報資産は細かく分類し始めると終わりません。最初は次の3つで十分です。

• 顧客・取引先情報：名刺情報、メール、見積・契約、問い合わせ履歴、納品物、サポート記録
• 従業員情報：人事情報、給与、評価、勤怠、健康情報
• 自社の重要情報：財務、経営計画、設計書、ソースコード、研究データ、営業資料、価格表、社内手順

「どれが一番痛いか」を考えると、優先順位がつきます。たとえば、顧客情報の漏えいは信用と売上に直撃します。設計書やソースコード流出は競争力を失います。こうした“痛み”が、そのままセキュリティ方針の説得力になります。

事故の起こり方を“よくある経路”で洗い出す

専門的な脅威分析をしなくても、現場でよく起きる経路はほぼ決まっています。

• メール誤送信、添付ミス、宛先の誤り
• クラウド共有（Google Drive/OneDrive等）の権限設定ミス
• 退職者・異動者のアカウントが残る
• PC/スマホの紛失、盗難、置き忘れ
• パスワードの使い回し、共有、付箋管理
• フィッシングによる認証情報の漏えい
• 委託先・外注先の管理不備
• 未更新のソフトウェアを狙った攻撃

ここで重要なのは、犯人探しではなく「再現性のある事故を、仕組みで減らす」視点です。雛形を使っても、これらの経路に対して最低限の歯止めがかかる内容にできれば、情報セキュリティ基本方針は十分に機能します。

雛形から作る手順：そのまま貼らずに“自社用”へ変換する

雛形は、良い意味で「抜け漏れを防ぐチェックリスト」です。ただし、文章の完成度よりも、運用に耐えるかが大切です。以下の手順で進めると、短期間で実務的なセキュリティポリシーにできます。

雛形の選び方：長さより“想定業種と規模感”

雛形は、自治体・業界団体・認証規格（ISMS等）などさまざまあります。選び方のコツは、ページ数の多さではなく「自社に近い前提（クラウド利用、リモートワーク、外注の有無）」が書かれているかです。特に情シスが少人数の組織は、運用できないレベルの要求（毎月の全端末監査、複雑な承認フローなど）が盛り込まれた雛形を避け、回せる範囲で始めるのが得策です。

“必須ブロック”を残して、過剰な要求は削る

基本方針で最低限入れたいのは、概ね次の要素です。

• 目的：何を守り、なぜ守るのか（顧客・法令・事業継続）
• 適用範囲：誰が対象か（役員、社員、派遣、委託先）
• 管理体制：責任者（CISO相当/情報管理責任者）と役割
• 遵守事項：法令・契約・社内規程
• 教育：周知と訓練を行う
• 事故対応：報告、初動、再発防止
• 継続的改善：定期的な見直し

逆に、基本方針に詳細手順まで書きすぎると、更新が追いつかず形骸化します。たとえば「パスワードは12文字以上で…」のような具体値は、別紙のルール（対策基準）に逃がすと運用が楽です。基本方針では会社として守る意思と枠組みを宣言し、具体は付属文書で更新しやすくします。

自社の言葉にする：1文だけでも具体化すると効く

雛形のままだと、社員が読んでも自分ごとになりません。全てを書き換える必要はありませんが、次の3点は“自社の固有情報”を入れるだけで一気に実務文書になります。

• 扱う情報の例（例：顧客の発注書、契約書、サポート履歴、従業員の給与情報）
• 利用している仕組みの前提（例：クラウドメール、SaaS、リモートワーク、BYODの可否）
• 責任の所在（例：情報セキュリティ管理責任者＝総務部長、窓口＝情シス）

「うちは何を守る会社なのか」が一文で伝わると、セキュリティ方針は現場の行動に繋がります。

そのまま使える構成例：基本方針に入れる文章と“書き換えポイント”

ここでは、情報セキュリティ基本方針に一般的に入る項目を、読者が雛形を編集するときの観点として示します。文章は短くてもよく、重要なのは「誰が見ても同じ運用になる」ことです。

目的・基本姿勢：法令だけでなく“事業継続”を明記する

目的は「情報漏えい防止」だけにすると、現場は“止めるためのセキュリティ”になりがちです。そこで、事業継続（サービス提供を止めない、取引を守る）も入れるとバランスが取れます。例としては「当社は顧客・取引先・従業員の情報資産を適切に保護し、信頼と事業継続を確保する」といった表現です。守る理由が明確な方針は、運用がブレにくいのがポイントです。

適用範囲：委託先・派遣・アルバイトまで含める

事故は社内だけで起きません。外注先のPC、委託先の共有設定、派遣社員のアカウントなども入口になります。適用範囲には「役員・従業員に加え、当社業務に従事する委託先等」を含め、契約や発注書に準拠義務を織り込めるようにしておくと実務が楽です。

役割と責任：小さな会社ほど“兼務でよい”が明確に

専任CISOがいなくても問題ありません。大事なのは、誰が決め、誰が運用し、誰が確認するかです。例として、経営者が最終責任者、情シス（または総務）が管理責任者、各部門長が運用責任者、という形でも回ります。兼務でも名前のない責任は存在しないため、役割だけは明記します。

管理策の方針：具体は別紙、ただし領域は網羅する

基本方針では、具体的な手順に踏み込みすぎず、「何を実施するか」の領域を網羅します。代表的には以下です。

• アクセス管理：最小権限、アカウント発行・棚卸し、退職時の停止
• 端末・媒体：暗号化、画面ロック、持ち出しルール、紛失時対応
• ネットワーク：社内外接続、VPN、Wi-Fi利用の考え方
• クラウド利用：権限設定、共有のルール、ログの考え方
• バックアップ：頻度、保管、復旧テストの方針
• 脆弱性対策：アップデート、不要ソフトの削除
• 委託先管理：選定、契約、再委託、返却・消去

「当社はこれらを実施する」まで書ければ、雛形としては合格です。実際の値（何日で停止、何文字、何ヶ月ログ保管など）は、社内の運用負荷と照らし、別紙ルールで決めましょう。

運用で差がつく：ポリシーを“紙から行動”に変える最小セット

情報セキュリティ基本方針を作っても、現場が変わらなければ意味がありません。とはいえ、いきなり高度なセキュリティ運用は不要です。情シスが少人数でも回りやすい「最小セット」を用意すると、方針が生きた文書になります。

社内ルール（対策基準）はA4 1〜2枚からでいい

おすすめは「よく事故るところ」だけ先にルール化することです。たとえば以下のような項目です。

• アカウント：個人別発行、共有アカウント原則禁止、退職時の即日停止
• パスワード・認証：使い回し禁止、多要素認証の必須化（可能なサービスから）
• メール：外部宛の添付・URL送付の確認手順、誤送信時の連絡先
• クラウド共有：リンク共有の制限、外部共有の承認、権限の定期見直し
• 端末：画面ロック、OS更新、紛失時の報告、業務データの保存場所

細かい禁止事項を増やすより、守れるルールを少数に絞る方が効果が出ます。守られないルールは、ないのと同じだからです。

教育は「年1回の研修」より「入社時＋小テスト＋継続周知」

ITに詳しくない社員が多い場合、長い研修資料よりも、短いケース集が有効です。例として「フィッシングっぽいメールの見分け」「誤送信したときの初動」「クラウド共有のやってはいけない設定」など、具体的な業務シーンで説明します。入社時に15分、四半期に1回の注意喚起、年1回の確認テスト、という形でも十分に改善します。

インシデント対応は“連絡先を1つに”してスピード優先

事故時の初動で重要なのは、技術より連絡です。報告が遅れるほど被害が広がり、説明コストが増えます。方針には、報告義務と窓口（例：情シス代表メール、緊急連絡電話）を明記し、現場が迷わないようにします。さらに、一次対応の定型を決めます（例：端末紛失なら回線停止・MDMロック、誤送信なら送信取り消し・受信者連絡・上長報告など）。

加えて、再発防止のための振り返り（原因、再発防止策、ルール改定）まで回すことで、セキュリティポリシーが“継続的改善”の宣言として効いてきます。

失敗しがちなポイント：雛形ポリシーが“逆に危ない”ケース

雛形は便利ですが、扱い方を間違えるとリスクになることがあります。ここでは、よくある失敗を先に潰します。

できないことを宣言してしまう（監査・取引で矛盾が出る）

雛形には「定期監査を実施する」「全端末のログを保管する」など、立派な表現が入っていることがあります。しかし実際にやっていない場合、取引先の質問や監査で矛盾が表に出ます。結果として、信用低下や追加対応のコストが発生します。対策はシンプルで、今できる範囲に落とすか、いつまでに整備するかを決めることです。

現場の業務を止めるルールになり、抜け道が増える

「外部共有禁止」「私物端末全面禁止」など、現実と合わない禁止は、現場が勝手な抜け道（個人メール、個人ストレージ、LINE送付）に流れる原因になります。セキュリティは“禁止の強さ”ではなく、“管理できる経路に寄せる”のがコツです。たとえば外部共有が必要なら、承認フロー・期限付き共有・アクセスログ確認など、運用できる形にします。

責任者が曖昧で、更新されずに陳腐化する

SaaSの導入、リモートワーク、外注活用など、環境はすぐ変わります。責任者と見直し頻度（例：年1回、または重要変更時）を決めないと、セキュリティ方針が更新されず、現実と乖離します。基本方針には「見直しのトリガー（組織変更、重大事故、IT環境変更）」を書いておくと、更新の言い訳が不要になります。

雛形で作った後にやること：社外提示・社内周知・証跡づくり

完成した情報セキュリティ基本方針は、「作った」だけでは価値が半分です。次の3点まで行うと、取引先対応と社内運用が一気に楽になります。

社外提示用に“1枚版”を用意する

取引先が知りたいのは、細かい手順より「経営として管理しているか」です。そこで、基本方針を1ページに収まるよう整形し、発行日・版数・責任者・適用範囲がわかるようにします。これだけで、セキュリティチェックシートや委託契約のやり取りがスムーズになります。

社内周知は「読ませる」より「やることを1分で理解させる」

全社員に長文を読ませるのは現実的ではありません。基本方針は掲示・共有しつつ、別紙で「今日から守る5つ」を作り、朝会や社内ポータルで周知します。たとえば「多要素認証を必ず使う」「外部共有は期限を付ける」「怪しいメールは転送して相談」「端末紛失は即連絡」など、行動レベルに落とすことが重要です。

最低限の証跡（エビデンス）を残す

「やっている」を示す証跡があると、監査や取引先確認に強くなります。例として、教育の実施記録、アカウント棚卸しのチェック表、バックアップの成功ログ、インシデントの報告票などです。完璧でなくて構いません。小さくても継続して残すことが、組織のセキュリティ成熟度を上げます。

まとめ

情報セキュリティ基本方針（ポリシー）は、雛形から作っても問題ありません。ただし「貼って終わり」ではなく、自社が守る情報資産、起こりやすい事故経路、責任体制に合わせて“運用できる宣言”に変換することが肝です。基本方針は経営の意思表示として短く整理し、具体的なルールは別紙に分けると更新が回ります。

まずは、守る対象を3分類し、メール・クラウド共有・アカウント管理・端末紛失・委託先といった頻出のリスクに対して、最小限のルールと報告窓口を整備してください。回せる仕組みを小さく作り、継続的に改善することが、現場に根付くセキュリティ対策への近道です。