IT資産管理をExcelで始める台帳項目と退職時チェックリスト

情報セキュリティ規程を作ろうとして、こうなっていませんか。

ネットで拾った立派なひな形をコピー。でも読むと、自社にない「情報システム部」や「CISO」が登場する。そのまま使っていいのか不安で、結局フォルダの奥で眠っている——。

規程づくりのゴールは、立派な文書を完成させることではありません。社員が守れて、実際に情報が守られることです。この記事では、規程の基本構成と、ありがちな失敗、そして「作って終わり」にしないコツを解説します。

「それ、うちもある」——規程まわりのあるある
情報セキュリティ規程の基本構成（3階層）
最初に決めるべき「効果の高いルール」5つ
“形骸化させない”3つのコツ
現場の視点：グループ規程は「守れる基準」と「責任分界」で決まる
1. (1) 「やれる会社」と「やれない会社」が必ず出る
2. (2) 「誰がどこまで責任を持つか」が曖昧になる
まとめ
規程ひな形集に含めたい文書（チェックリスト）

「それ、うちもある」——規程まわりのあるある

ひな形をコピペしたら、自社にない部署名・役職がそのまま残っている
規程はあるが、どこに保存されているか社員が知らない
「パスワードは複雑に」とあるのに、全員が使い回している
インシデント時、誰に報告すればいいか分からず大混乱
規程の最終更新が3年前（実態とズレている）

これらはすべて、「規程と現実が切れている」サインです。

情報セキュリティ規程の基本構成（3階層）

基本方針（ポリシー）：会社としての宣言。1ページ程度。対外的にも示せるもの。
対策基準（スタンダード）：守るべきルールの集合（パスワード、アクセス権、持ち出し、委託先管理など）。
実施手順（プロシージャ）：具体的な手順書（入退社手続き、インシデント対応フローなど）。

中小企業は、いきなり全部は作れません。まず①基本方針と、②のうち効果の高いルールから始めれば十分です。

最初に決めるべき「効果の高いルール」5つ

ルール	防げる事故	最低限の中身
アカウント・認証	不正ログイン	使い回し禁止、多要素認証(MFA)、退職時の即時停止、パスワードマネージャー
アクセス権限	内部不正・誤操作	必要な人に必要な範囲だけ（最小権限）
持ち出し・私物端末	紛失・漏えい	許可制、暗号化、私物利用のルール
委託先管理	外注経由の漏えい	渡す情報の範囲、秘密保持
インシデント連絡フロー	初動の遅れ	誰に・どう報告するかを1枚に

“形骸化させない”3つのコツ

コツ① ひな形は「自社の言葉」に直す

必要な管理策を削るのではありません。法令・契約・親会社基準・顧客要求などで必須の要求は残し、現時点で達成できない部分は「例外」「代替策」「期限付きの改善計画」として管理します。「できないから書かない」ではなく「できない事実と、いつまでにどう埋めるかを明記する」のが正しい姿です。

コツ② 運用と「記録」をセットにする

ルールを決めたら、同時に「どこに・いつ・誰が記録するか」まで決める。ISMS審査でもインシデント時の説明でも、この記録が効きます。

コツ③ 年1回の「見直す日」を決める

規程は生もの。年1回の見直し日をカレンダーに固定し、組織変更・新SaaS導入・インシデントの教訓を反映します。

現場の視点：グループ規程は「守れる基準」と「責任分界」で決まる

(1) 「やれる会社」と「やれない会社」が必ず出る

親会社基準をそのまま下ろすと、人員の少ない子会社では守れず“絵に描いた餅”に。

解決策：規程を「必須（must）＝最低基準」と「推奨（should）＝努力目標」に分ける。 “全社で守る最低ライン＋各社で上乗せ”の二層構造のほうが、グループ全体の実効性は上がります。

(2) 「誰がどこまで責任を持つか」が曖昧になる

責任の分解（責任分界）は、グループ規程で最大の課題のひとつ。曖昧なまま運用すると事故時に責任の押し付け合いが起きます。

領域	親会社／持株会社	各グループ会社
規程の雛形・最低基準	◎ 策定	○ 自社向けに具体化
共通基盤のログ・アクセス管理	◎ 運用	○ 利用記録・申請
自社の端末・アカウント	△ 方針提示	◎ 運用・棚卸し
インシデント時の報告	◎ 集約・対外対応	◎ 一次対応・報告

規程の出来は、文章の立派さより“責任分界の明確さ”で決まる——これが現場の実感です。

まとめ

規程は方針→基準→手順の3階層。中小企業は方針＋効果の高いルールから
ひな形は自社の言葉に直す。必須要求は残し、未達は例外・代替策・改善計画で管理
運用・記録・年1見直しと責任分界で形骸化を防ぐ

規程ひな形集に含めたい文書（チェックリスト）

情報セキュリティ基本方針
アカウント・認証管理規程（MFA・パスワード）
アクセス権限管理規程
情報持ち出し・私物端末（BYOD）規程
委託先管理規程／個人情報の取扱い規程
インシデント対応・連絡フロー
ログ・バックアップ・変更管理の手順
教育・研修の記録様式／例外・改善計画の管理様式

規程ひな形集（基本方針＋認証管理規程）を無料プレゼント

メール登録で、そのまま使える規程テンプレートを無料でお渡しします。全5規程＋連絡フロー＋様式集の「完全版」も準備中——ご登録の方へ先行ご案内します。無料テンプレートを受け取る（ダウンロード）

コンテンツ・掲載・取材に関するお問い合わせはこちら

出典・参考：IPA、個人情報保護委員会など（公開時にリンク）。