一人情シスでも運用できる：情報セキュリティポリシー「最小構成」の作り方

「ISMS認証を取るわけでもないのに、何十ページものセキュリティ規定なんて作れないし、作っても誰も守らない」

これは、多くの一人情シスが抱える本音でしょう。 しかし、取引先からのセキュリティチェックシートへの回答や、万が一の事故時の説明責任を果たすためには、「我が社のルール」が明文化されている必要があります。

本稿では、社員数100人規模・情シス1人の体制を前提に、IPA（独立行政法人情報処理推進機構）や総務省の資料をベースにしつつ、「作りすぎず」「説明できる」最小構成の情報セキュリティポリシーの作り方を解説します。

1. そもそもなぜポリシーが必要なのか（一人情シス視点）

教科書的な回答は「組織の資産を守るため」ですが、一人情シスにとっての実利は以下の2点に尽きます。

1. 「個人の判断」ではなく「会社のルール」にするため
   • 「なんで俺だけ制限されるんだ」というクレームに対し、「規定で決まっています」と答えることで、不毛な議論を避けることができます。
2. 事故が起きたときの「免罪符」ではなく「拠り所」にするため
   • ルールがない状態で従業員が情報漏洩を起こした場合、会社としての管理責任（ガバナンス欠如）が問われます。ルールがあり、それを周知していれば、対応のフェーズが変わります。

2. 参考にするべき「正解」資料

ゼロから考える必要はありません。以下の公的なテンプレートを「引き算」して使うのが鉄則です。

• IPA（独立行政法人情報処理推進機構）
  • 中小企業の情報セキュリティ対策ガイドライン
    • 基本方針や関連規定のサンプルがWord形式で提供されています。これがベースになります。
• 総務省
  • 国民のための情報セキュリティサイト：企業・組織の対策
    • 従業員教育や啓発に使える素材が豊富です。

3. 「最小構成」のセキュリティポリシー構造

一般的な大企業では「基本方針」→「対策基準」→「実施手順」の3層構造で作りますが、100人規模であれば**2層構造（基本方針＋利用規程）**で十分です。

第1層：情報セキュリティ基本方針（世界に向けた宣言）

これは「我が社はセキュリティを重要視します」という対外的な宣言です。A4用紙1枚程度、経営者の署名入りで作成し、Webサイトや社内ポータルに掲示します。細かいルールは書きません。

必須項目（これだけでOK）:

1. 目的: なぜセキュリティ対策をするのか（顧客信頼の維持など）。
2. 適用範囲: 全従業員、全資産。
3. 実施体制: 誰が責任者か（社長または役員）。
4. 法令遵守: 個人情報保護法などを守ること。
5. 違反時の対応: 懲戒処分の可能性への言及。

第2層：情報セキュリティ利用規程（社員への「べからず」集）

ここが実質的なルールブックです。ポイントは「情シスが管理できないことは書かない」こと。書いてあるのに守られていない状態（形骸化）が最もリスクが高いからです。

省略しても致命傷にならない（後回しでも良い）項目:

• × 詳細な暗号化技術の規定（「AES256を使う」など。ツール側で担保すべき）
• × 物理セキュリティの厳密なゾーニング（入退室ログがないオフィスなら、無理に規定しない）
• × 開発セキュリティ規定（自社開発をしていない場合）

【最小構成】これだけは入れるべき5つの章:

1. ID・パスワード管理

• ルール: 「使い回しの禁止」「多要素認証（MFA）の利用義務化」。
• 重要性: 最も破られやすい部分です。「定期変更」は推奨されなくなっているため、ポリシーからも削除し、「複雑性とMFA」に焦点を当てます。

2. デバイス・媒体管理

• ルール: 「会社支給PC以外の業務利用禁止（シャドーIT禁止）」「USBメモリの原則禁止」。
• 重要性: 紛失・盗難リスクだけでなく、ランサムウェア感染経路を断つためにも重要です。BYOD（私物利用）を認める場合は、MDM（モバイルデバイス管理）導入とセットで規定します。

3. ソフトウェア・クラウド利用

• ルール: 「許可されたSaaS以外の利用禁止」「勝手なソフトインストールの禁止」。
• 重要性: 前回の記事でも触れた「SaaSスプロール」を防ぐための法的根拠になります。

4. 情報の取り扱い・格付け

• ルール: 情報を「極秘（経営・人事・顧客など）」「社外秘（社内限定）」「公開」の3つに分類し、それぞれの持ち出しルールを決める。
• 重要性: すべての情報を「最重要」として扱うと業務が止まります。「何を守るべきか」のメリハリをつけます。

5. インシデント対応（報告ルート）

• ルール: 「ウイルス感染や誤送信の疑いがあるときは、怒らないからすぐに情シスへ連絡すること」。
• 重要性: 技術的な対策よりも、発見の遅れが被害を拡大させます。「隠蔽」を防ぐための記述が最も重要です。

4. 運用に乗せるためのコツ

「読み合わせ」を年に1回やる

作ったポリシーをPDFで配って終わりにしてはいけません。 入社時研修はもちろん、年1回（例えばセキュリティ月間など）に、全社員で主要なポイントを確認する機会を設けます。この「教育実績」が、監査や事故対応時に会社を守ります。

「例外対応」を認めるプロセスを作る

ガチガチのルールを作ると、業務効率のために抜け道を探そうとします。 「原則禁止だが、業務上必要な場合は申請により許可する」という例外規定（特例承認フロー）を必ず設けてください。これにより、情シスは「何が例外として動いているか」を把握できるようになります。

まとめ：完成度60点を目指そう

セキュリティポリシー作成において、完璧主義は敵です。 IPAのサンプルをそのままコピペすると、実態に合わない厳しいルールができあがり、結果として誰も守らなくなります。

まずは「これなら全員が守れる」という最低ラインから始め、会社の成長やツールの変化に合わせて、年に一度改定（リビジョンアップ）していく。これが一人情シスにおけるセキュリティガバナンスの最適解です。

AIに相談するためのプロンプト（テンプレート）

必要最低限のセキュリティポリシーを、IPAのガイドラインをベースにしつつ「自社サイズ」に圧縮して作成するためのプロンプトです。

あなたは中小企業（100名規模）専任のセキュリティコンサルタントです。
取引先から「セキュリティポリシーを提出してください」と言われましたが、手元に何もありません。
IPAの「中小企業の情報セキュリティ対策ガイドライン」をベースにしつつ、一人情シスでも運用可能な（嘘のない）「基本方針」と「利用規定」のドラフトを作成してください。

# 自社のセキュリティレベル（正直ベース）
*   ID管理: [例: M365で管理しているが、MFAは未徹底]
*   デバイス: [例: 私物スマホの利用を黙認している]
*   教育: [例: 入社時研修のみ]

# 出力してほしい内容
1.  **情報セキュリティ基本方針（社外用）**: Webサイトに載せても恥ずかしくない、かつ具体的な約束をしすぎない「宣言文」。
2.  **情報セキュリティ利用規定（社内用）の目次と要点**: 自社の現状レベルに合わせて、「背伸びしすぎない」範囲で定めるべきルールの箇条書き。特に「私物スマホ利用」の落とし所（申請制にする等）を含めて。