Lockiron / The Fortress of a Solo IT Manager | 一人情シスの砦
| | Columns

規程を「作らない」勇気:形骸化した社内ルールが一人情シスの首を絞める理由

#社内規程 #ガバナンス #運用設計 #一人情シス #内部統制

「IPO準備のために、IT関連の規程を整備してください」 「Pマーク取得のために、情報セキュリティポリシーが必要です」

会社の成長に伴い、このオーダーは必ず降ってきます。 そこで多くの情シス担当者は、インターネットで「情報セキュリティ規程 テンプレート」を検索し、あるいはコンサルタントから渡されたWordファイルを、「社名だけ置換」して制定しようとします。

「情報システム管理規程」「パスワード管理規程」「外部メディア利用規程」「個人情報保護規程」……。 立派なファイルがフォルダに並びます。監査人もニッコリです。

しかし、その瞬間からあなたの地獄が始まります。 **「自分たちで作ったルールに、自分たちが違反し続ける」**という、無限の自己矛盾(コンプライアンス違反)状態におかれるからです。

本稿では、あえて**「規程を作らない(減らす・統合する)」**という選択肢こそが、実効性のあるガバナンスへの近道である理由を説きます。

なぜ、規程は「増殖」し「死ぬ」のか

1. コピペの罠

ネット上の雛形や、大企業向けのテンプレートは、往々にして「理想的な(厳しすぎる)ルール」書かれています。

  • 「パスワードは10桁以上、英数記号混在で、90日ごとに変更すること」
  • 「USBメモリの利用は原則禁止とし、利用時は『外部記録媒体利用申請書』を提出すること」
  • 「業務用端末の持ち出しは、上長の許可を得ること」

これらをそのまま自社の規程にしてしまうと、どうなるか。 システム側で強制設定(パスワード期限切れ設定など)をしていない限り、社員は**「面倒だからやらない」**を選択します。 申請書なんて出しません。勝手に持ち出します。

2. 「運用不備」という指摘

監査において最も重い指摘は、「ルールがないこと」ではありません。 **「ルールがあるのに、守られていないこと(運用評価の不備)」**です。

「規程ではUSB禁止と書いてありますが、ログを見ると全員使っていますね。なぜ放置しているのですか?」 こう問われた時、情シスは何も言えません。 「身の丈に合わない規程」を作ったせいで、自らロープで首を絞めている状態です。

これなら、最初から「USBは業務効率優先で許可する(ただし紛失時は懲戒)」となっていれば、指摘事項にはならなかったのです。

「System > Human」の原則

規程とは、本来「人間の行動を縛るための文章」です。 しかし、人間は文章を読みませんし、忘れます。

現代の情シスにおける鉄則は、**「システムで強制できることは、規程に書かない」**です。

ケーススタディ:パスワード

  • × 規程で縛る:「パスワードは複雑なものを設定すること」と5行にわたって記述し、誓約書にサインさせる。
  • ○ システムで縛る:IdP(Okta/Entra ID)の設定で「12文字未満は設定不可」にする。

システムで設定不可になっていれば、規程に書く必要すらありません。「システム仕様」が「ルール」そのものだからです。 規程は「システムのアウトプット(設定値)」の補足資料へとなりさがります。これでいいのです。

規程を「作らない」ための判断軸

では、システム化できない領域(泥臭い運用など)において、どう規程をスリム化するか。

1. 「禁止リスト(Blacklist)」方式にする

「あれをしろ」「これをしろ」と手順(Process)を書くと、手順が変わるたびに改訂が必要です。 そうではなく、**「これだけはやってはいけない」**ことだけを書きます。

  • 「許可されていないクラウドストレージに顧客情報を上げてはならない」
  • 「ID/パスワードを他人に教えてはならない」

これ以外は「良識の範囲内で自由」とします。 100ページのマニュアルより、1枚の「べからず集」の方が、社員の記憶に残ります。

2. 細則を作らず「ガイドライン」に逃がす

「管理規程(Regulation)」は、改訂に取締役会の承認が必要だったりします。 一方、「ガイドライン」や「マニュアル」は、情シス部門長の決済で直せることが多いです。

詳細な手順(申請フローのURLや、具体的なツール名)は、規程本体には書かず、「別途定めるガイドラインによる」と記載して外出し(外部参照)します。 これで、ツールが変わっても規程改訂という重たい作業(スタンプラリー)を回避できます。

3. まとめて「一本化」する

「PC管理規程」「モバイル管理規程」「サーバー管理規程」……バラバラに作ると、整合性を取るのが大変です。 全部まとめて**「情報システム利用規程」**一本にします。

「会社のIT資産は、業務目的以外に使ってはいけません」 この一行があれば、PCもスマホもサーバーも全部カバーできます。 中堅・中小企業において、法務部門のような厳密さは不要です。**「要するにダメなものはダメ」**と言える根拠さえあれば十分です。

説明責任とのバランス:空白をどう埋めるか

「規程を作らないと、社員が暴走しませんか?」 「事故が起きた時、解雇する根拠がなくなりませんか?」

その懸念はもっともです。 ここで重要なのが、**「就業規則」と「誓約書」**の活用です。

就業規則の包括条項

個別のIT規程がなくても、会社の憲法である「就業規則」には大抵、「会社の資産を毀損・私的流用してはならない」「職務専念義務」といった条項があります。 ITも資産であり、YouTubeばかり見るのは職務専念義務違反です。 実は、新たな規程を作らなくても、既存の就業規則の解釈で十分戦えるケースが大半です。

入社時の「IT利用誓約書」

分厚い規程集を渡す代わりに、A4一枚の「誓約書」にサインをもらいます。 そこには、本当に守ってほしい3〜5個の重要事項(ID貸し借り禁止、データ持ち出し禁止など)だけを太字で書きます。

「読んでいない規程」より「サインした一枚の紙」。 いざという時の法的効力や、社員への心理的拘束力は、後者の方が圧倒的に高いです。

結論:規程は「負債」である

ソフトウェアコードと同じく、社内規程も**「書いた行数だけ負債になる(メンテナンスコストが発生する)」**と認識してください。

一人情シスの時間は貴重です。 年に一度しか開かれないWordファイルの「てにをは」を修正し、版数管理をし、稟議を回す時間があるなら、その時間でMFAの未設定ユーザーを一人でも減らす法が、会社の実質的なセキュリティ強度は上がります。

「ルールは少なく、システムは堅く」。 これが、変化の激しい時代を生き抜くための、最もスマートなガバナンス戦略です。 今ある規程フォルダを見てください。半分に減らせませんか? あるいは、全て捨ててA4一枚にまとめられませんか? その「捨てる勇気」が、組織のフットワークを軽くします。

AIに相談するためのプロンプト(テンプレート)

形骸化した大量の社内規定を廃棄し、A4一枚の「最強の誓約書」に生まれ変わらせるためのプロンプトです。

あなたは法務とITガバナンスの専門家ですが、「シンプル・イズ・ベスト」が信条です。
現在、社内には誰も読んでいない「IT管理規定(全50ページ)」がありますが、これを廃止し、入社時にサインさせる「IT利用誓約書(A4用紙1枚)」に一本化したいと考えています。
記事にある「システムで守れない部分だけを人間(ルール)で縛る」思想に基づき、誓約書の文案を作成してください。

# 自社の環境
*   システム制御: [例: パスワード長、USB書き込み禁止、ソフトインストール禁止はPC側で設定済み]
*   残っているリスク(人間が気をつけるべきこと): [例: IDの貸し借り、画面の覗き見、怪しいメールの開封]

# 出力してほしい内容
1.  **情報セキュリティ誓約書(案)**: 専門用語を使わず、新入社員でも理解できる平易な言葉で書かれた、5〜7項目の遵守事項。
2.  **法的効力の解説**: 「規定」ではなく「誓約書」にすることのメリットと、違反時の懲戒処分の法的根拠についての解説。
ホームに戻る