情報セキュリティマネジメント試験対策（25）情報セキュリティポリシー（1）「情報セキュリティポリシー」

IT系

2026.04.23

情報セキュリティポリシーとは
法律との違い
情報セキュリティマネジメントシステムとの関係
情報セキュリティポリシーの種類
他の社内文書等との整合性
1. 関連

情報セキュリティポリシーとは

情報資産に対するリスクは、脅威と脆弱性が結びつくことによって発生する。リスクを適切な水準でコントロールするためには、脅威を把握し、脆弱性をなくす必要がある。

これらの行為は個々の担当者レベルでも行われるが、それぞれの社員によってセキュリティ意識やスキルにばらつきがあるのが実情である。また、情報セキュリティはその要素のどれか一つだけでも弱点があると、全体のセキュリティレベルがそれに沿ってしまう特徴がある。

したがって、セキュリティ対策は全社レベルで実施しなくてはあまり意味をなさないことになる。また、全体の実施レベルを揃えることも重要である。

そこで、全社的な意志の統一、セキュリティ対策手順の明確化をするために情報セキュリティポリシーを策定する。つまり、情報セキュリティポリシーとは文書の形で明確に示される、その企業のセキュリティへの取組みビジョン、取組み基準、罰則規定などの総称である。

また、情報セキュリティポリシーをうたうことで取引を行う他社や顧客から信用されるという効果もある。セキュリティ意識の高まりから、こうしたセキュリティへの取組みをアピールすることが企業にとってプラスになる環境が整ってくる。

法律との違い

一般的に企業や個人を守る方法として、法律や条令の制定が考えられる。もちろんセキュリティ分野でも、不正アクセス禁止法（正式名称：不正アクセス行為の禁止等に関する法律）などの法案が整備されつつある。しかし、ことセキュリティに関しては、守るべき情報資産、脅威の種類、脆弱性の種類などが企業や組織ごとに異なるため、一元的な法律などで保護できる範囲には限界がある。

そこで、各企業、各組織が自社の事情を勘案して情報セキュリティポリシーを策定することになる。公的機関やセキュリティコンサルタントは、情報セキュリティポリシー作成のための助言やガイドラインの提言を行うことはできるが、最終的にポリシーの作成に責任を負えるのは自組織以外にないのである。

情報セキュリティマネジメントシステムとの関係

情報セキュリティポリシーは、文書の形で示される。これによって社員等、組織の構成員はその組織内のセキュリティに対するビジョン、守らなければならない手順、違反した場合の罰則などを理解できる。

しかし、多くの文書がそうであるように、作成されたポリシーはいつか古くなる。このように規定文書が効力を失ってしまうことを死文化（しぶんか）、空文化（くうぶんか）とよぶ。

このような死文化を防ぎ、作成された情報セキュリティポリシーを100%活用するためのしくみが情報セキュリティマネジメントシステム（ISMS）である。

例えば、文書に有効期限や見直し期限を設けたり、見直しのきっかけとなる事柄（トリガ）を定めたりといった措置をあらかじめ規定文書中に盛り込んでおくことで、文書の見直しや情報セキュリティマネジメントのアップデートを強制する。こうすることで、情報セキュリティポリシーやその実施組織、実施形態を常に最新の事情にあった形に適合させることができるのである。

情報セキュリティポリシーの種類

情報セキュリティポリシーを策定する場合、規定される文書は、情報セキュリティ基本方針、情報セキュリティ対策基準、情報セキュリティ対策実施手順の3階層に分類されるのが一般的である。

情報セキュリティ基本方針

経営層レベルが策定する、会社としてのセキュリティへの取組み指針、ビジョンを示す文書である。対外的なアピールもこの文書によって行われることから、冗長である必要はない。通常1～2枚程度の文書から構成され、代表者の名前で公表される。

あくまで基本方針であるため、詳細なセキュリティ手順などには踏み込まない。5年程度のスパンで見直す。

情報セキュリティ対策基準

基本方針は会社としての目標を示す文書だが、これをもう少し現実的なレベルに書き下したのが対策基準である。

基本方針よりも抽象度が低下し、具体的な記述が多くなるのが特徴である。業務領域の変更などに対応するため見直し期間は3年程度に設定する。

情報セキュリティ対策実施手順

当事者レベルの社員が実際にどのような手順を踏めば、セキュリティを維持できるかを示す文書である。対策基準でも末端の社員にはまだ抽象的である。また、守るべき対象などが示されても、スキルのない社員であれば、その方法がわからない場合もある。そこで、詳細な業務手順を文書化することでセキュリティを維持できるようにする。

詳細手順に言及しているので、一般的に文書量が多くなるのが特徴である。情報技術は進展・陳腐化が激しいため、1年程度で見直す必要がある。

他の社内文書等との整合性

情報セキュリティポリシーは他の社内文書などと競合するものではない。基本方針の立案は会社の業務理念に適合していなければならないし、就業規則などの利用できる既存の社内規定類は積極的に活用すべきである。また、セキュリティ施策は法令などにも拘束される。それぞれ個別に存在している規定や手順を有機的に連携させて、統一されたマネジメントシステムを構築することが重要である。

（参考）令和08年情報セキュリティマネジメント合格教本　岡嶋裕史（著）技術評論社