IPA「2023年度 中小企業における情報セキュリティ対策の実態調査報告書」によると、「情報セキュリティに関する規程やルールを整備している」と回答した中小企業は約30%にとどまる。一方で、2022年施行の改正個人情報保護法により、個人データの漏えい等が発生した場合の個人情報保護委員会への報告と本人への通知が義務化され、規程整備の必要性は急速に高まっている。
「セキュリティ規程が必要なのは分かるが、何から手をつけてよいか分からない」「大企業向けのテンプレートが多く、中小企業には過剰」という声に応え、本記事では中小企業が最低限整備すべき情報セキュリティ規程のテンプレートと運用方法を解説する。
目次
- 情報セキュリティ規程とは何か
- 規程の全体構成テンプレート
- 各規程の記載内容と例文
- 規程策定の手順
- 規程の運用と定着のポイント
- 従業員教育の方法
- よくある失敗パターンと対策
- まとめ
- FAQ
1. 情報セキュリティ規程とは何か
定義と目的
情報セキュリティ規程とは、企業の情報資産(データ、システム、紙文書等)を守るためのルールを文書化したものだ。
| 目的 | 内容 |
|---|
| 情報資産の保護 | 機密情報の漏えい、改ざん、滅失を防ぐ |
| 法令遵守 | 個人情報保護法、マイナンバー法等への対応 |
| 取引先からの信頼 | セキュリティ対策の実施を証明 |
| 従業員の行動基準 | 「何をしてよくて、何をしてはいけないか」を明確化 |
| インシデント時の対応基準 | 事故発生時に迅速かつ適切に対応するための手順 |
規程がないことのリスク
| リスク | 影響 |
|---|
| 個人情報漏えい時の対応遅延 | 報告義務違反による罰則(最大1億円の罰金) |
| 従業員の不注意による事故 | 「知らなかった」では済まされない |
| 取引先からの取引停止 | サプライチェーンセキュリティの要件を満たせない |
| サイバー保険の適用外 | 基本的なセキュリティ対策が未整備だと保険が下りない場合がある |
セクションまとめ:情報セキュリティ規程は「法的義務」と「取引先の信頼」の両面から必須。規程がないことは「対策していないことの証明」になりうる。
2. 規程の全体構成テンプレート
中小企業向け規程体系(最小構成)
| # | 規程名 | ページ数目安 | 優先度 |
|---|
| 1 | 情報セキュリティ基本方針 | 1〜2ページ | 必須 |
| 2 | 情報セキュリティ管理規程 | 3〜5ページ | 必須 |
| 3 | 個人情報保護規程 | 3〜5ページ | 必須 |
| 4 | インシデント対応規程 | 2〜3ページ | 必須 |
| 5 | アクセス管理規程 | 2〜3ページ | 高 |
| 6 | テレワークセキュリティ規程 | 1〜2ページ | 高 |
| 7 | 外部委託管理規程 | 1〜2ページ | 中 |
| 8 | 物理的セキュリティ規程 | 1〜2ページ | 中 |
| 合計 | 14〜24ページ |
規程の階層構造
| 階層 | 文書 | 内容 | 対象読者 |
|---|
| 第1層 | 基本方針 | 経営者の意志表明。セキュリティに対する基本的な考え方 | 全社員・社外 |
| 第2層 | 管理規程 | 具体的なルール。組織体制、情報分類、アクセス制御等 | 管理者・IT担当 |
| 第3層 | 手順書 | 運用手順の詳細。パスワード変更手順、バックアップ手順等 | 全社員 |
セクションまとめ:中小企業は8つの規程(14〜24ページ)で最低限のカバーが可能。基本方針→管理規程→手順書の3層構造で策定する。
3. 各規程の記載内容と例文
1. 情報セキュリティ基本方針(例文)
基本方針に含めるべき要素:
| 要素 | 記載内容 |
|---|
| 目的 | 情報資産を保護し、事業の継続性を確保する |
| 適用範囲 | 全社員(正社員、契約社員、派遣社員、委託先を含む) |
| 経営者の責任 | 経営者がセキュリティ推進の最終責任者であることを明記 |
| 法令遵守 | 個人情報保護法その他関連法令を遵守する |
| 継続的改善 | 定期的に規程を見直し、改善する |
| 違反時の措置 | 規程違反に対する懲戒処分の可能性を明記 |
2. 情報セキュリティ管理規程のテンプレート構成
| セクション | 記載内容 |
|---|
| 組織体制 | セキュリティ責任者(CISO相当)の任命、役割と責任 |
| 情報資産の分類 | 機密・社外秘・社内限定・公開の4分類と取り扱いルール |
| アクセス管理 | ID/パスワード管理、アクセス権限の付与・変更・削除の手順 |
| 物理的セキュリティ | 入退室管理、クリアデスク/クリアスクリーン |
| 技術的対策 | ウイルス対策、パッチ管理、暗号化、バックアップ |
| 教育・研修 | 年1回以上のセキュリティ研修の実施 |
| 監査 | 年1回以上のセキュリティ監査(自己点検含む) |
情報資産の分類基準
| 分類 | 定義 | 取り扱いルール | 例 |
|---|
| 機密 | 漏えいした場合に経営に重大な影響を及ぼす情報 | 暗号化必須、アクセス者限定、印刷禁止 | 経営戦略、M&A情報、パスワード一覧 |
| 社外秘 | 社外に漏えいした場合に業務に影響を及ぼす情報 | 社外持出し禁止、メール送信時暗号化 | 顧客リスト、見積書、人事情報 |
| 社内限定 | 社内での共有は可だが社外には出さない情報 | 社外持出し要承認 | 社内マニュアル、議事録 |
| 公開 | 社外に公開しても問題ない情報 | 制限なし | Webサイト掲載情報、プレスリリース |
3. インシデント対応規程のテンプレート構成
| フェーズ | 内容 | 担当者 | 対応期限 |
|---|
| 検知・報告 | 異常の発見、セキュリティ責任者への第一報 | 発見者→責任者 | 発見後1時間以内 |
| 初動対応 | 被害拡大の防止(端末の隔離、アカウントの停止等) | IT担当 | 報告後2時間以内 |
| 調査・分析 | 原因の特定、影響範囲の把握 | IT担当+外部専門家 | 24〜72時間以内 |
| 外部報告 | 個人情報保護委員会への報告(漏えいの場合) | 責任者 | 速報:認知後速やかに(3〜5日以内) |
| 復旧 | システムの復旧、業務の再開 | IT担当 | 状況に応じて |
| 再発防止 | 原因分析に基づく再発防止策の実施 | 責任者 | 1ヶ月以内 |
セクションまとめ:基本方針は1〜2ページで経営者の意志を表明。管理規程は組織体制・情報分類・アクセス管理・技術的対策を網羅。インシデント対応規程はフェーズごとの対応期限を明確に定める。
4. 規程策定の手順
| ステップ | 内容 | 期間 | 担当者 |
|---|
| 1. 現状把握 | 既存のルール、IT資産、情報資産の棚卸し | 1〜2週間 | IT担当、各部門長 |
| 2. リスク評価 | 情報資産に対する脅威と脆弱性の評価 | 1〜2週間 | IT担当 |
| 3. 規程のドラフト作成 | テンプレートをベースに自社向けにカスタマイズ | 2〜4週間 | IT担当、法務 |
| 4. 関係者レビュー | 各部門長、経営層のレビュー | 1〜2週間 | 各部門長 |
| 5. 経営者の承認 | 基本方針に経営者が署名 | 1週間 | 経営者 |
| 6. 全社周知 | 全社員への説明会、配布 | 1週間 | IT担当 |
| 7. 教育・研修 | セキュリティ研修の実施 | 1週間 | IT担当 |
| 合計 | 7〜13週間 |
外部支援の費用目安
| 支援内容 | 費用目安 |
|---|
| 規程策定コンサルティング | 50〜200万円 |
| テンプレート提供+カスタマイズ支援 | 30〜80万円 |
| ISMS認証取得支援(規程策定含む) | 100〜300万円 |
5. 規程の運用と定着のポイント
運用サイクル(PDCAサイクル)
| フェーズ | 活動 | 頻度 |
|---|
| Plan(計画) | 規程の策定・改定、年間セキュリティ計画の策定 | 年1回 |
| Do(実行) | 規程に基づく運用、教育・研修の実施 | 通年 |
| Check(確認) | セキュリティ監査(自己点検)の実施 | 年1〜2回 |
| Act(改善) | 監査結果やインシデントを踏まえた規程・運用の改善 | 随時 |
規程を「絵に描いた餅」にしないための3か条
| # | ポイント | 具体策 |
|---|
| 1 | 短く・分かりやすく書く | 法律文のような文体を避け、箇条書きで記載。1つの規程は5ページ以内 |
| 2 | 現実的なルールにする | 「絶対に守れる」ルールから始め、徐々にレベルを上げる |
| 3 | 定期的に見直す | 年1回の改定を明記。古い規程は守られなくなる |
セクションまとめ:PDCAサイクルで運用し、年1回は規程を見直す。「短く・現実的に・定期的に見直す」の3か条で形骸化を防ぐ。
6. 従業員教育の方法
教育プログラムの構成
| 項目 | 内容 | 頻度 | 時間 |
|---|
| 新入社員研修 | 規程の概要、基本ルール、誓約書の取得 | 入社時 | 1時間 |
| 全社セキュリティ研修 | 最新脅威動向、規程の確認、事例紹介 | 年1回 | 1〜2時間 |
| フィッシングメール訓練 | 模擬フィッシングメールの送付、結果のフィードバック | 年1〜2回 | — |
| 管理者向け研修 | インシデント対応手順、情報資産管理の実務 | 年1回 | 2時間 |
| 臨時教育 | インシデント発生後の注意喚起、規程変更時の説明 | 随時 | 30分 |
教育の費用目安
| 方法 | 費用 | メリット | デメリット |
|---|
| 社内で実施 | 0〜5万円 | 低コスト、自社事例を使える | 専門性に限界 |
| eラーニング | 年間10〜50万円 | 全社員が好きな時間に受講 | 一方通行になりやすい |
| 外部講師 | 1回10〜30万円 | 専門性が高い、最新事例 | 費用が高い |
| 標的型メール訓練サービス | 年間20〜80万円 | 実践的、効果が測定可能 | 社員の反発の可能性 |
セクションまとめ:年1回の全社研修と年1〜2回のフィッシング訓練が最低限の教育プログラム。新入社員研修時の誓約書取得も重要だ。
7. よくある失敗パターンと対策
| 失敗パターン | 原因 | 対策 |
|---|
| 規程が分厚すぎて誰も読まない | 大企業向けテンプレートをそのまま適用 | 中小企業に合わせて簡潔にカスタマイズ |
| 規程はあるが守られない | 教育の不足、違反の黙認 | 定期的な教育+違反時の対応を明確化 |
| 策定後一度も更新されない | 担当者の異動、優先度の低下 | 年1回の見直しを規程内に明記、経営者レビューを義務化 |
| ITツールに規程が追いつかない | クラウドサービスの導入が規程の想定外 | 「新規ITツール導入時のセキュリティチェック」を手順化 |
| 経営者が無関心 | セキュリティをIT部門任せにしている | 基本方針に経営者署名を求め、年次レビューに参加させる |
8. まとめ
情報セキュリティ規程策定の最重要ポイントは以下の3つだ。
- 最小限の規程から始める:中小企業は8つの規程(14〜24ページ)でカバー可能。完璧を求めず、まず基本方針と管理規程を策定する
- 現実的なルールにする:守れないルールは規程全体の信頼を損なう。現状の運用レベルから無理なく始められるルールを設定する
- 教育と定期的な見直しをセットにする:策定だけでは意味がない。年1回の教育と規程改定を組み込む
中小企業のセキュリティ対策費用については中小企業のセキュリティ対策費用ガイドも参照されたい。
情報セキュリティ規程の策定支援・相談はお問い合わせフォームよりお気軽にどうぞ。
9. FAQ
Q1. 情報セキュリティ規程の策定にどのくらいの期間がかかりますか?
自社で策定する場合は7〜13週間、外部コンサルタントに依頼する場合は4〜8週間が目安だ。最も時間がかかるのは「現状把握」と「関係者レビュー」のフェーズだ。
Q2. 規程策定に法律の専門知識は必要ですか?
基本的な規程はテンプレートをカスタマイズすることで策定可能だが、個人情報保護規程については弁護士のレビューを推奨する。特に改正個人情報保護法の報告義務に関する条項は、法的に正確な表現が求められる。
Q3. ISMS認証の取得は中小企業に必要ですか?
必ずしも必要ではないが、取引先が大企業やIT企業の場合は要求されるケースが増えている。ISMS認証の取得費用は100〜300万円、維持費用は年間30〜80万円が目安。取得の判断は「取引先からの要求」と「費用対効果」で決めるのが合理的だ。
Q4. 従業員から「面倒くさい」と反発された場合はどうすればよいですか?
まず「なぜ規程が必要か」を具体的な被害事例とともに説明する。IPAの「情報セキュリティ10大脅威」の事例は説得力がある。また、ルールは最小限から始め、慣れてきたら段階的にレベルを上げるアプローチが現実的だ。
Q5. テレワーク環境でのセキュリティ規程のポイントは何ですか?
最低限「VPNの使用義務」「公共Wi-Fi利用時の制限」「端末のロック設定」「業務データの端末保存禁止」「画面の覗き見防止」の5点を規程に含めるべきだ。テレワーク特有のリスクとして「家族による画面の閲覧」や「紙資料の持ち出し管理」も忘れがちなポイントだ。
