情報セキュリティポリシーの策定

背景

中小企業においても、取引先からセキュリティ体制の整備を求められるケースが増えています。特に大手企業との取引では、情報セキュリティポリシーの有無が取引条件となることも珍しくありません。しかし、ひとり情シスの現場では「何から手を付ければいいのかわからない」「大企業向けのテンプレートは自社に合わない」といった悩みが多く聞かれます。

従業員50名規模の製造業A社では、主要取引先から「情報セキュリティポリシーを提示してほしい」と求められたことをきっかけに、ひとり情シス担当者がポリシー策定に着手しました。専任のセキュリティ担当者もおらず、予算も限られた中での取り組みです。

課題

• セキュリティポリシーの策定経験がなく、どのような項目を盛り込むべきかわからない
• 大企業向けのテンプレートは項目が多すぎて自社の規模に合わない
• 経営層のセキュリティに対する理解が十分ではなく、承認を得るのが難しい
• 策定後の運用・更新の負荷が心配で、持続可能な仕組みが必要
• 従業員に理解してもらえるわかりやすい文書にする必要がある

対応方法

1. 現状把握とリスク洗い出し

まず、自社が保有する情報資産を棚卸しし、守るべき情報を明確にしました。顧客情報、取引先情報、技術情報、従業員の個人情報など、カテゴリ別に整理し、それぞれの保管場所・アクセス権限・漏洩時の影響度を一覧表にまとめました。

2. ポリシーの構成設計

中小企業に適した3階層構成を採用しました。第1階層は「基本方針」として経営者の意思表明を1ページにまとめます。第2階層は「対策基準」として具体的なルールを定めます。第3階層は「実施手順」として日常業務での具体的な手順書を用意します。

IPA（情報処理推進機構）が公開している「中小企業の情報セキュリティ対策ガイドライン」を参考に、自社の規模と業務内容に合わせてカスタマイズしました。

3. 重点項目の選定

すべてを一度にカバーしようとせず、リスクの高い領域から優先的に策定しました。初期段階で盛り込んだ主要項目は以下の通りです。

1. パスワード管理ルール（複雑さ要件、変更頻度、多要素認証の導入）
2. メール・インターネット利用ルール（フィッシング対策、添付ファイルの取り扱い）
3. 端末管理ルール（ロック設定、ソフトウェアインストール制限）
4. 情報の持ち出し・廃棄ルール（USBメモリの利用制限、書類のシュレッダー処理）
5. インシデント発生時の報告・対応フロー

4. 経営層の承認取得

経営層への説明では、セキュリティ事故が発生した場合の損害額（顧客離れ、損害賠償、業務停止など）を具体的な数字で示しました。また、取引先からの要求に応えることで得られるビジネス上のメリットも合わせて説明し、投資対効果を明確にしました。

5. 従業員への周知

ポリシー文書とは別に、A4で2ページの「セキュリティルール早わかりガイド」を作成し、全従業員に配布しました。難解な表現を避け、「やるべきこと」「やってはいけないこと」を箇条書きで簡潔にまとめています。

判断と成果

ポリシー策定から3か月後、取引先への提示に成功し、取引継続の条件をクリアしました。さらに、策定プロセスを通じて社内のセキュリティ意識が向上し、パスワードの使い回しや安易なファイル共有が減少するという副次的な効果も得られました。

経営者自身がセキュリティ基本方針に署名したことで、組織全体でセキュリティを重視する文化の醸成にもつながりました。

推奨事項

• IPAの「中小企業の情報セキュリティ対策ガイドライン」を基本フレームワークとして活用する
• 最初は5〜10項目程度の重点ルールから始め、段階的に拡充する
• 従業員向けには平易な言葉で書かれた要約版を用意する
• 経営者の署名入り基本方針を掲示し、トップのコミットメントを示す
• 年次見直しのスケジュールをあらかじめカレンダーに登録しておく
• 策定・更新の記録を残し、外部監査や取引先への説明に備える