「セキュリティポリシーを作れ」と言われたが、何から手をつければいいかわからない。IPA「中小企業の情報セキュリティ対策ガイドライン 第3.1版」によると、情報セキュリティ対策に取り組んでいると回答した中小企業のうち、セキュリティポリシーを策定済みの企業はわずか約4割にとどまる(IPA、2024年3月)。取引先からの要求、Pマーク・ISMS取得の前提、そしてインシデント発生時の法的説明責任。「ポリシーがない」は、もはや経営リスクそのものだ。本記事では、管理部門でセキュリティ担当を兼任する方に向けて、中小企業が最低限そろえるべき5つの規程文書をテンプレート付きで解説する。
なぜセキュリティポリシーが必要なのか
セキュリティインシデントの多くは、技術的な突破ではなく「人の行動」に起因する。IPAの「情報セキュリティ10大脅威 2026(組織編)」では、内部不正による情報漏えい(5位)や不注意による情報漏えい(9位)が継続してランクインしている。ポリシーがなければ、従業員は「何をやってはいけないか」を知る手段がない。
ポリシーが求められる3つの場面
| 場面 | 具体例 | ポリシー不在のリスク |
|---|---|---|
| 取引先からの要求 | 大手取引先のサプライチェーンセキュリティ監査 | 取引停止・入札不可 |
| インシデント発生時 | 個人情報漏えい時の個人情報保護委員会への報告 | 「管理体制の不備」として行政指導・損害賠償増額 |
| 認証取得の前提 | Pマーク、ISMS(ISO 27001)、SECURITY ACTION | ポリシー未整備では申請すら不可 |
IPA SECURITY ACTION宣言との関連
SECURITY ACTIONは、IPAが推進する中小企業向けの情報セキュリティ自己宣言制度だ。一つ星と二つ星の2段階があり、取り組み目標を宣言することでロゴマークを使用できる。IT導入補助金の申請要件にもなっている。
| 段階 | 宣言内容 | 本記事との対応 |
|---|---|---|
| 一つ星 | 「情報セキュリティ5か条」に取り組むことを宣言 | 本記事の5規程が5か条の実践をカバー |
| 二つ星 | 「5分でできる!情報セキュリティ自社診断」を実施し、情報セキュリティ基本方針を策定・公開 | 規程1(基本方針)が直接対応 |
中小企業が最低限そろえるべき5つの規程文書
| No. | 規程文書 | カバーするリスク | 策定の緊急度 |
|---|---|---|---|
| 1 | 情報セキュリティ基本方針 | 全社的なセキュリティの方向性不在 | 最優先 |
| 2 | パスワードポリシー | 不正アクセス、アカウント乗っ取り | 高 |
| 3 | インシデント対応手順書 | 初動遅れによる被害拡大 | 高 |
| 4 | BYOD(私物端末)利用規定 | 私物端末からの情報漏えい | 中〜高 |
| 5 | リモートワークセキュリティルール | 社外ネットワーク経由の侵入・漏えい | 中〜高 |
規程1:情報セキュリティ基本方針
目的
組織として情報セキュリティに取り組む姿勢を社内外に示す最上位文書。経営者の意思表明であり、他の規程すべての根拠となる。SECURITY ACTION二つ星では、この基本方針の策定・公開が必須要件とされている。
テンプレート構成
| No. | 見出し | 記載内容 |
|---|---|---|
| 1 | 基本理念 | なぜ情報セキュリティに取り組むか |
| 2 | 適用範囲 | 対象となる情報資産・人員・拠点 |
| 3 | 遵守事項 | 法令、ガイドライン、契約上の要求 |
| 4 | 体制と責任 | 経営者、管理責任者、従業員の役割 |
| 5 | リスク対応方針 | リスクアセスメントの実施方針 |
| 6 | 教育・訓練 | 従業員への継続的な教育実施 |
| 7 | インシデント対応 | 迅速な対応と被害最小化 |
| 8 | 継続的改善 | PDCAサイクルによる見直し |
| 9 | 制定日・改定日・署名 | 経営者の署名を付す |
必ず入れるべき項目
- 経営者の署名:代表取締役名での署名が信頼性を担保する。IPAガイドラインでも「経営者のリーダーシップ」が強調されている
- 適用範囲の明確化:正社員だけでなく、パート・派遣社員・業務委託先を含むかどうかを明記する
- 見直し頻度:最低年1回。形骸化を防ぐために「毎年○月に見直す」と具体的に記載する
- 公開方法:社内イントラネット掲載、自社Webサイト掲載、取引先への提示方法を定める
規程2:パスワードポリシー
目的
不正アクセスの最も基本的な防御策であるパスワード管理のルールを定める。NISCの「インターネットの安全・安心ハンドブック」でも最重要対策に位置付けられている。
テンプレート構成
`目的` → `適用範囲(対象システム・対象者)` → `パスワード要件(文字数・複雑性・禁止パターン)` → `管理ルール(保管方法・共有禁止)` → `変更ルール(初期設定時・漏えい疑い時)` → `MFA適用基準` → `パスワードマネージャー利用方針` → `違反時の対応`
必ず入れるべき項目
- 最低文字数と複雑性:NIST SP 800-63B(2024年改訂)に準拠し、最低12文字以上を推奨。定期的な強制変更は推奨されなくなった点に注意する
- 使い回し禁止:業務システムごとに異なるパスワードを設定することを明文化する
- MFAの必須対象:メール、クラウドストレージ、VPN、管理者アカウントは最低限MFA必須とする
- パスワードマネージャー推奨:記憶に頼らず、会社指定のパスワードマネージャー利用を推奨する。付箋への記載やExcelでの管理を明確に禁止する
規程3:インシデント対応手順書
目的
セキュリティインシデント発生時に「誰が・何を・いつまでに」行うかを定め、初動遅れによる被害拡大を防ぐ。2022年4月施行の改正個人情報保護法により、個人データの漏えい等が発生した場合は個人情報保護委員会への報告と本人通知が義務化されている。手順書がなければ、法定期限(速報は事態把握から概ね3〜5日以内、確報は30日以内)を遵守できない。
テンプレート構成
`目的と適用範囲` → `インシデントの定義と分類(重大度レベル)` → `連絡体制図(第一報の通報先・エスカレーション経路)` → `初動対応手順(検知→隔離→証拠保全→報告)` → `外部通報先リスト(警察・IPA・個人情報保護委員会・JPCERT/CC)` → `被害状況の記録フォーマット` → `復旧手順` → `再発防止策の策定プロセス` → `訓練・演習の実施方針`
必ず入れるべき項目
- 連絡体制図:「誰に連絡するか迷う」状態が最大の初動遅れ要因。代表電話ではなく、担当者の携帯番号まで記載する。休日・夜間の連絡先も必須
- 重大度の分類基準:例として「レベル1:軽微(ウイルスメール受信)」「レベル2:中程度(マルウェア感染疑い)」「レベル3:重大(ランサムウェア感染・情報漏えい確認)」の3段階程度で十分
- 証拠保全の手順:「PCの電源を切らない」「LANケーブルを抜く(Wi-FiはOFF)」「スクリーンショットを撮る」など、IT知識がない従業員でもできる手順を記載する
- 外部通報先の連絡先一覧:IPA安心相談窓口、警察サイバー犯罪相談窓口、個人情報保護委員会報告フォームのURLを事前に整理しておく
セキュリティポリシー、テンプレートだけでは不安ですか?
GXOでは、中小企業の業種・規模に合わせたセキュリティポリシー策定を支援しています。テンプレートのカスタマイズから、従業員への周知・運用定着まで一貫してサポートします。
※ 無料相談対応 | オンライン完結OK | 現状のヒアリングからでも可
規程4:BYOD(私物端末)利用規定
目的
従業員の私物端末(スマートフォン・PC・タブレット)を業務利用する際のルールを定める。ルールなきBYODは「管理外の端末に業務データが散在する」状態であり、退職時の情報持ち出しや端末紛失時の漏えいリスクが制御不能になる。
テンプレート構成
`目的と適用範囲` → `利用許可の申請手続き(事前申請制)` → `利用可能な業務システム・データの範囲` → `端末のセキュリティ要件(OS更新・画面ロック・暗号化)` → `禁止事項(脱獄/root化・非公式アプリストア利用)` → `紛失・盗難時の対応手順(リモートワイプの同意)` → `退職時のデータ削除手順` → `費用負担(通信費の扱い)` → `モニタリング・監査への同意`
必ず入れるべき項目
- 事前申請制の明記:「黙認BYOD」が最もリスクが高い。利用する端末のOS・機種名を申請させ、管理台帳で把握する
- 最低限のセキュリティ要件:OS最新版へのアップデート、画面ロック(6桁以上のPINまたは生体認証)、端末暗号化の有効化を必須とする
- リモートワイプへの同意:紛失時に会社がリモートで業務データを消去できることについて、書面で同意を取得する。MDM(モバイルデバイス管理)ツールの導入を前提に記載する
- 退職時のデータ削除確認:退職日までに業務データの削除を完了し、上長が確認する手順を定める。確認チェックリストを添付文書として用意する
規程5:リモートワークセキュリティルール
目的
テレワーク・在宅勤務時のセキュリティリスクに対応するルールを定める。IPA「10大脅威 2026」では「リモートワーク等の環境を狙った攻撃」が7位。VPN機器の脆弱性を突いた攻撃や自宅Wi-Fiからの情報漏えいは中小企業でも現実に発生している。
テンプレート構成
`目的と適用範囲` → `リモートワーク実施の事前手続き` → `利用環境の要件(自宅Wi-Fi・公共Wi-Fiの制限)` → `VPN接続ルール` → `データの取り扱い(ローカル保存禁止・クラウドストレージ利用)` → `Web会議のセキュリティ` → `物理的セキュリティ(のぞき見防止・離席時ロック)` → `作業終了時の手順` → `インシデント発生時の連絡方法`
必ず入れるべき項目
- 公共Wi-Fi利用の原則禁止:カフェやホテルのフリーWi-Fiでの業務は原則禁止とし、やむを得ない場合はVPN接続を必須とする
- のぞき見防止:プライバシーフィルター(のぞき見防止シート)の支給・使用を義務化する。カフェでの作業は機密性の高い業務では禁止する
- ローカル保存の禁止:業務データはクラウドストレージまたは社内サーバーに保存し、PC本体やUSBメモリへのローカル保存を禁止する
- 自宅Wi-Fiのセキュリティ:ルーターのファームウェア更新、デフォルトパスワードの変更、WPA3(またはWPA2)の使用を求める
5文書を効率的に整備する進め方
ステップ1:基本方針を最初に作る(所要時間:1〜2日)
情報セキュリティ基本方針は他の4文書の根拠となる最上位文書だ。IPAの「中小企業の情報セキュリティ対策ガイドライン」付録にサンプル文面が掲載されているので、それをベースにカスタマイズする。経営者の承認と署名を得て、社内外に公開するところまでを最初のゴールとする。
ステップ2:リスクの高い規程から着手(所要時間:各2〜3日)
自社の業務実態に合わせて優先順位を決める。
| 自社の状況 | 優先すべき規程 |
|---|---|
| リモートワークを実施している | リモートワークセキュリティルール |
| 私物スマホで業務メールを見ている | BYOD利用規定 |
| パスワード管理がバラバラ | パスワードポリシー |
| インシデント対応の手順がない | インシデント対応手順書 |
ステップ3:レビュー・承認・周知(所要時間:1週間)
関係部門や外部専門家にドラフトをレビューしてもらい、経営者の承認を経て全社に周知する。各従業員から同意書(署名)を取得しておくと、インシデント時の責任明確化に有効だ。
ステップ4:年1回の見直しサイクル
策定して終わりではない。IPA「10大脅威」発表時(毎年1月)、重大インシデント発生時、事業形態変更時、法改正時に見直す。
まとめ
中小企業のセキュリティ対策は、高額なツール導入の前に「ルールの整備」から始まる。本記事で解説した5つの規程文書を整備することで、以下の効果が期待できる。
| 効果 | 対応する規程 |
|---|---|
| SECURITY ACTION二つ星の宣言 | 情報セキュリティ基本方針 |
| 不正アクセスリスクの低減 | パスワードポリシー |
| インシデント時の初動迅速化・法令遵守 | インシデント対応手順書 |
| 私物端末からの情報漏えい防止 | BYOD利用規定 |
| リモートワーク環境の安全確保 | リモートワークセキュリティルール |
参考資料: IPA「中小企業の情報セキュリティ対策ガイドライン 第3.1版」(2024年)/IPA「SECURITY ACTION制度」/IPA「情報セキュリティ10大脅威 2026」(2026年1月)/NIST SP 800-63B(2024年改訂)/NISC「インターネットの安全・安心ハンドブック」
セキュリティポリシーの策定、自社だけで進めるのは難しいとお感じですか?
GXOでは、IPA「中小企業の情報セキュリティ対策ガイドライン」に準拠したセキュリティポリシーの策定を支援しています。テンプレートのカスタマイズ、SECURITY ACTION宣言のサポート、従業員教育まで一貫対応。「まず何から始めるべきか」のご相談からお気軽にどうぞ。
※ 無料相談 | オンライン対応可 | 規程ドラフトのレビューだけでもOK