15 - IPA 独立行政法人情報処理推進機構

中小企業の情報セキュリティ対策
ガイドライン（改訂案）
平成 28 年○○月
独立行政法人情報処理推進機構
セキュリティセンター
目次
1. 経営者の皆様へ .......................................................................................... 3
2. 対象組織と想定する読者............................................................................ 4
3. 全体解説..................................................................................................... 6
第 1 部経営者編 ................................................................................................ 8
1. 情報セキュリティ対策を怠ることで企業が被る不利益 ............................. 9
2. 経営者が負う責任 .....................................................................................11
3. 経営者は何をすればよいか ...................................................................... 13
3.1 経営者が認識する必要がある「３原則」 ........................................... 13
3.2 企業として実施する「重要 7 項目の取組」 ....................................... 15
第 2 部管理実践編 ........................................................................................... 18
1. 情報セキュリティポリシーの策定手順 .................................................... 19
1.1 基本的な考え方 .................................................................................. 19
1.2 情報セキュリティ対策の策定までの流れ ........................................... 20
2. 情報セキュリティ対策の実行 .................................................................. 26
3. チェックと改善 ........................................................................................ 29
4. 情報セキュリティ対策のさらなる改善に向けて ...................................... 30
おわりに ........................................................................................................... 34
本書で用いている用語の説明 ........................................................................... 35
付録 1 情報セキュリティ５か条
付録 2 ５分でできる！情報セキュリティ自社診断
付録 3 わが社の情報セキュリティポリシー
ツール 3-1 情報資産管理台帳
ツール 3-2 脅威一覧
ツール 3-3 対策状況チェックシート
ツール 3-4 情報セキュリティポリシーサンプル
付録 4 情報セキュリティ関連ガイド・法令一覧
付録 5 情報セキュリティ相談窓口
1. 経営者の皆様へ
本ガイドラインは、
「中小企業に求められる情報セキュリティ対策を、中小企
業ならではの視点から実現するための方策を紹介する」ことを目的としたもの
で、次の３点に要約されます。
情報セキュリティ対策は、経営に大きな影響を与えます！
情報セキュリティ対策を実施して対外的にアピールすることで、企業としての
評価を高めて売上を伸ばしている企業がある一方、情報セキュリティ対策を疎
かにしたために、
技術を悪用した意図的な攻撃や不正行為、
あるいは人為的なミスを原因とした秘密情報や個人情報の
漏えいが発生し、経営を揺るがしかねない高額な賠償を負っ
た企業もあります。企業の継続的な発展のために、適切な
情報セキュリティ対策（投資）を行いましょう。⇒ 9 ペー
ジ
経営者が自ら動かなければ、法的・道義的責任を問われます！
金銭や物品だけでなく、情報にも価値や権利が認められる現代社会では、情報
に関わる法律の整備も進み、例えばマイナンバー法では保護の方法が定められ
ており、違反すると経営者や従業員に刑事罰が課され
ます。また、民法上の不法行為とみなされた場合には、
経営者が損害賠償請求の対象となります。こうした責
任を果たすためには、担当者への丸投げではなく、経
営者が自社の情報セキュリティについて明確な方針を
示すことが必要です。⇒ 11 ページ
組織として対策するために、担当者への指示が必要です！
組織として実施する情報セキュリティ対策は、経営者に主導され、必要な範囲
が網羅され、関係者との連携のもとで実際に実施されな
ければ機能しません。経営者はこれらの事項を認識した
上で、必要となる取り組みを担当者に指示する必要があ
ります。具体的な取り組みの方法については、本ガイドラインの第２部と付録
で説明しています。⇒ 13 ページ
2. 対象組織と想定する読者
本ガイドラインの対象組織は、業種を問わず中小企業及び小規模事業者（企
業のほか、個人事業主や NPO 法人など各種団体も含みます）1です。こうした
組織の経営者層及び経営者の指示のもとで情報資産2やパソコンやサーバー、ネッ
トワークといった、いわゆる情報システムなどの管理を実践される方（管理者
層）を本ガイドラインの主たる読者と想定しています（下図参照）。
経営者
（最高管理責任者）
監査人
情報管理責任者
（総務部長）
事務取扱責任者
（マイナンバー対応）
システム管理者
各事業部
…
委託
情報管理担当者
事務取扱担当者
（マイナンバー対応）
委託先
兼務もあり得る
なお、ここで「情報資産や情報システムなどの管理を実践される方（管理者
層）
」とは、情報システムの管理・運用に携わる方（運用責任者）だけではなく、
総務・企画などの管理業務に携わる方（実務責任者）や、外注先や委託先など
との重要な情報のやりとりを通じて、相手側に情報セキュリティ対策を求める
役割を担う契約担当者も含んでいます。
本ガイドラインの活用にあたって、情報セキュリティ対策を組織的に行った
経験は必要ありません。こうした組織的な取り組みの経験がなくても、本ガイ
ドラインと付録を用いることで、組織の事情に応じた情報セキュリティポリシー
（以下、「ポリシー」と言います。）を作成することができます。こうして策定
したポリシーをもとに情報セキュリティ対策を実践し、その実践の結果をチェッ
1
2
ただし、表記上の煩雑さを回避するために、以下「中小企業」という言葉で総称します。
「情報資産」の意味については 6 ページの脚注を参考にしてください。
クして、必要に応じてポリシーの見直しをかけることで、組織における情報セ
キュリティ対策をより適切なものとしていくことが可能です。
【コラム】情報セキュリティポリシーとは
「ポリシー」という言葉は狭義の「理念」「方針」「声明」「宣言」などか
ら、広義の「方法」「手段」「手順」などまで幅広い意味で使われています。
本ガイドラインでも、情報セキュリティのための様々な決めごとを総称して
情報セキュリティポリシーと表現しています。
ポリシーは、組織全員が情報セキュリティ対策を的確に実行するための共
通ルールを定めた文書です。ポリシーの文書構成に決まりはありませんが、
規模の大きな組織では、上位の基本方針と対策基準とを組織全体の原則にし
て、情報システムや保有する情報資産が異なる部署ごとに下位の実施手順を
策定することで管理レベルを統一します。ポリシーの目的は、読者が理解し、
実行することですので、実行方法を示す下位の実施手順は組織の規模によら
ず不可欠です。
【情報セキュリティポリシー文書構成例】
呼「こ
ぶ情の
こ報部
とセ分
もキを
あュ
るリ
テ
ィ
ポ
リ
シ
ー
」
と
基本方針
・・・ Why
対策基準
・・・ What
実施手順
・・・ How
（ポリシー）
（スタンダード）
（プロシージャー）
3. 全体解説
(1) 本ガイドラインの構成
本ガイドラインは中小企業にとって重要な情報3を、漏えいや改ざん、喪失な
どの脅威から保護することを目的とする情報セキュリティ対策の考え方や実践
方法について説明するもので、本編２部構成と付録より構成されます。それぞ
れの内容は次表のとおりです。
構成
概要
第１部経営者編
経営者が自らの責任で対応しなければならない事
項について説明しています。
第２部管理実践編
管理者層向けに、情報セキュリティ管理の仕組み
（マネジメントサイクル） 4 の構築、運用について説
明しています。
本
編
付録１絶対やろう！情報セキュリティ企業や個人を問わず最低限の５項目について説
5 ヶ条
明しています。
付録２ 5 分でできる！
情報セキュリティ自社診断
ツール 3-1:
情報資産管理台帳
ツール 3-2:
付録３
脅威一覧
わが社の情報
付
録セキュリティポツール 3-3:
リシー
対策状況チェックシート
ツール 3-4:
情報セキュリティ
ポリシーサンプル
中小企業でも実施すべき基本２５項目の診断シー
トです。
重要情報を洗い出すための情報資産管理台帳
フォームです。
典型的な IT 利用場面における脅威を紹介してい
ます。
付録２の基本達成後に対策を拡充するための
チェックシートです。
上記結果をもとに、自社に適した情報セキュリティ
ポリシーを策定するためのひな形です。
付録４
情報セキュリティ関連ガイド・法令一覧
関連する他のガイドライン・法令などを紹介してい
ます。
付録５
情報セキュリティ相談窓口
公的な連絡先・相談先と相談する際のポイントにつ
いて紹介しています。
重要な情報とは事業に必要で組織にとって価値のある情報や、顧客や従業員の個人情報など管
理責任を伴う情報のことです。経済的価値を指す“資産”を加え“情報資産”ということがあり、
本ガイドラインでも“情報資産”といいます。ただし、個人情報は取り扱いに関する権利が本人
側にあるため、組織の資産とはいえない側面もありますが、本ガイドラインでは個人情報も含め
て情報資産と総称します。
4 ここで言うマネジメントサイクルとは、Plan（計画）
、Do（実行）、Check（チェック）
、Act
（見直し）の４段階を繰り返すことで、企業で行う情報セキュリティ対策を継続的に改善してい
く取り組みのことです。
3
(2) 本ガイドラインの使い方
本ガイドラインは読者毎に次のような使い方を想定して作成されていますが、
読者の職場環境に応じて、参考になるとお感じの箇所をご活用下さい。
① 経営者の方
本編の第１部を参照してください。なお、従業員数が少なく経営者が情報シ
ステムの管理も担当されている場合は、②で紹介している内容も参考としてく
ださい。また、法人格の有無にかかわらず、個人情報やお客様の情報、自ら大
切と考えている情報があるかと思いますので、このガイドラインに沿って対策
を検討されることをお勧めします。
② 経営者の指示のもとで情報資産や情報システムなどの管理を実践される方
本編第２部と付録をご覧の上、これまでの情報セキュリティ対策に関する取
り組みに応じて下図のようにご活用下さい。
対象となる中小企業
Step 1
未対策
Step 2
何らかは実施済み
Step 3
自己診断達成
Step 4
ポリシー策定済
本ガイドラインの活用方法
情報セキュリティを意付録１
「情報セキュリティ５か条」
識していない企業またを配付するなどして、まずできる
ところから開始してください。
は個人事業主
基準や規則はないが何
らかの情報セキュリ
ティ対策を実施してい
る企業
付録２「情報セキュリティ自社診
断」で、100 点未満の場合は未実
施の対策の導入に努めてくださ
い。
付録３「わが社の情報セキュリ
付録２の自社診断 25
ティポリシー」を利用して自社の
項目の基本対策を全て
情報セキュリティポリシーの策定
実施できている企業
または見直しを行ってください。
本編第２部４章「情報セキュリ
付録３をもとに情報セティ対策のさらなる改善に向け
キュリティポリシーをて」を参考に、情報セキュリティ
策定・導入済みの企業マネジメントサイクルに基づく継
続的改善に努めて下さい。
第1部経営者編
経営者編では、情報セキュリティ対策に関して、経営者が認識し、自らの責
任で対応しなければならない事項について説明します。
刑事罰
損害賠償
取引停止・・・
とはいえ、
何をすれば良いか
分からないから
部下に任せる？
1. 情報セキュリティ対策を怠ることで企業が被る不利益
IT 活用により経営効率が向上した半面、技術を悪用した意図的な攻撃や不正、
あるいは知識不足による人為的なミスを原因とした秘密情報や個人情報の漏え
いにより、経営を揺るがしかねない高額な賠償事例や金銭的な損失が増えてい
ます。ここでは、情報セキュリティ対策の必要性を理解いただくため、対策が
不十分なことで生ずる事故と、それにより企業がどのような不利益を被るかに
ついて説明します。こうした事故による不利益は、後述するような情報セキュ
リティ対策を行うことで、経営上許容できる範囲まで減らすことができます。
(1) 資金の喪失
企業などにおける大規模な個人情報の漏えい事故が発生すると、盛んに報道
がなされることからも明らかなように、個人情報の適切な保護は人々にとって
重要な関心事項となっています。これに伴い、情報漏えい事故が生じた場合の
損害賠償額も高額となる例が出ています。また、取引先などの機密情報の漏え
いも相手方からの損害賠償請求の対象となります。このような、情報漏えい事
故における損害賠償額の例を次表に示します。
分類
事故事例
情報流出による被害相当額
1 名あたり 500 円相当の金券支払い
教育サービス事業者の委託先従業員に（総額 175 億円相当）
よる内部不正を通じた個人情報（3,500 被害者の集団訴訟による係争中（2016
万件）の漏えい（2014 年）
年 7 月時点、原告 1,170 名請求額原告
一人あたり 55,000 円、
総額 6,435 万円）
卸売業が委託していた株主向けサイトか
個人情報ら株主の個人情報（6,249 件）の漏えい 1 名あたり 1,000 円の金券配布
の漏えい（2015 年）
航空会社の業務用端末へのマルウェア感
染による会員情報（4,131 件）の漏えい 1 名あたり 500 円の金券配布
（2015 年）
大手百貨店の従業員が処分した私物パ
ソコンからの個人情報（421 件）の漏え（不明）
い（2016 年）
国内電子部品メーカーの関連会社従業
秘密情報
国内電子部品メーカーが得た和解金額
員による内部不正を通じた営業秘密の海
の漏えい
330 億円
外メーカーへの漏えい（2014 年）
こうした損害賠償などによる喪失のほか、ネットバンク
を装った偽サイトへの送金やクレジットカードの不正利用
などで直接的な損失を被ることもあります。警察庁の調査
によれば、平成 27 年度における法人口座に対する不正送金の実被害額は 26 億
4,600 万円にも及んでいます。
(2) 顧客の喪失
情報セキュリティ上の事故が発生すると、事故を起こした企業に対する社会的
評価は低下します。同じようなサービスを提供している企業が複数あれば、事故
を起こしていない企業の製品やサービスを選択しようとする顧客が増えます。事
故を起こした企業が再発防止策を定め、事故を起こさずに事業を続けていく中で
こうした社会的信用は徐々に回復していきますが、事故の発覚直後には大きなダ
メージを受けることとなり、事業の存続が困難になる場合もあります。
上表に示した教育サービス事業者の場合、情報漏えい事件が発生した結果、既存会員の退会と新規営業
活動の自粛により、前年比約 25％程度会員が減少しています。
(3) 業務の喪失
情報漏えいに限らず、情報セキュリティ上の事故が発生すると、被害の拡大
を防止の観点から、自社で運用しているサーバーの停止や、インターネットへ
の接続の遮断などの措置を行います。この結果、ふだんインターネットを通じ
て発注している取引先からみると、営業を停止しているのと同じ状態になるた
め、措置を講じている間は事業機会の喪失となります。さらに、自社の業務で
電子メールやグループウェアが使えなくなったり、クラウド上のサービスに接
続できなくなったりすることで、社内の業務効率が大幅に低下してしまいます。
2015 年に発生した特殊法人における個人情報漏えい事故の際には、ウェブサイトの一部コンテンツと電子
メールを一定期間停止することになり、業務に支障が生ずる結果となりました。
(4) 従業員への影響
情報セキュリティ対策の不備を悪用した内部不正が容易に行えるような職場
環境は、従業員のモラル低下を招く要因となります。また、事故を起こしたに
もかかわらず、従業員のみを罰して経営者が責任を取らないような対応をとる
ことで、従業員が働く意欲を失う恐れがあります。情報漏えいなどの事故によ
る企業としてのイメージダウンを嫌って転職する従業員も現れます。
また、従業員の個人情報が適切に保護されなければ、従業員から訴訟を起こ
されるなどの不利益を受けることも考えられます。
従業員の私用メールを会社が監視したことを理由とした訴訟が起きていますが「社会通念上相当な範囲を逸
脱した監視がなされた場合に限りプライバシー権の侵害となると解する」という判例があります。
2. 経営者が負う責任
情報セキュリティ対策に関する経営者の責任について、次に示す２種類の観
点から説明します。
(1) 経営者などに問われる法的責任
企業が個人情報などの管理義務がある情報を適切に管理していなかった場合、
経営者や役員、担当者は業務上過失として下表に例示するような処罰などの対
象となります。
 個人情報やマイナンバーに関する違反の場合は刑事罰が科されるほか、個人
情報保護委員会5による立入検査の対象にもなります。
 民法上の不法行為とみなされた場合は、経営者が個人として責任を負うべき
損害賠償請求の対象となります。
情報の種類
個人情報
マイナンバー
根拠法による規定
個人情報保護法
1) 虚偽申告・命令違反
2) データベース提供罪6
（改正で新設）
処罰など
6 月以下の懲役又は 30 万円以下の罰金、
業務停止命令
民法（不法行為による損害
損害賠償
賠償、709 条）
建設業法
役員または使用人が懲役刑に処せられた
場合は営業停止処分
マイナンバー法
（両罰規定）
秘密を漏らし、又は盗用した者は、３年以
下の懲役若しくは 150 万円以下の罰金
行為者を雇用する法人に対しても罰金刑
民法（不法行為による損害
損害賠償
賠償、709 条）
他社から預かった秘密情報不正競争防止法の営業秘
損害賠償、信頼回復措置
（外部非公開のデータなど）密不正取得・利用行為など
自社の秘密情報
（非公開のノウハウなど）
不正競争防止法の
営業秘密不正取得・利用
行為など
上場会社の株価に影響を
与える可能性のある重要金融商品取引法
な未公開の内部情報
善管注意義務違反に対する関係者からの
損害賠償請求（経営者に対する民事訴訟）
内部情報をもとに取引が行われた場合、
罰金または課徴金の可能性
本項は 2017 年 4 月に予定されている改正個人情報保護法の全面施行を前提としたものです。
個人情報保護委員会は公正取引委員会と同様の高い独立性を有する機関です。
6 個人情報保護法では個人情報の数が
「過去 6 月以内のいずれの日においても 5,000 を超えない
者」は適用外としていますが、改正後は 5,000 人以下の事業者も適用になるため、全ての企業が
個人情報保護法で規定された義務を遵守しなければなりません。さらに、人種、信条、病歴など
が含まれる個人情報の取得には本人の同意が必要、従業者が不正な利益を図る目的で個人情報を
他者の提供した場合はデータベース提供罪を新設し、処罰対象になるなど、強化されています。
5
(2) 関係者や社会に対する責任
適切に管理することを前提に預かった情報を漏えいさせてしまった場合に問
われるのは、前述の法的責任や、その情報の当事者に対する責任だけではあり
ません。情報漏えい事故の発生は、営業停止、売上高の減少、企業イメージの
低下などで、自社に損害をもたらずだけでなく、取引先に対する信頼関係の喪
失、業界やサービス全体のイメージダウンなどをも生じさせることにもなりま
す。ゆえに、情報セキュリティ対策は、顧客・取引先・従業員・株主などに対
する経営者としての責任を果たすための手段としても重要といえます。
【コラム】ソフトウェアライセンスの正規利用に関する責任
社内で利用しているアプリケーションソフトウェアは知的財産として法律
で開発者の権利が定められています。したがってライセンスの不正利用（無
断複製、使用許諾条件に反した利用）行った場合は、経営者が責任を問われ、
著作権侵害による損害賠償請求や、故意に行った場合には犯罪として刑事罰
の対象になります。法人が著作権侵害を行った場合には、その法人自体に対
して 3 億円以下の罰金刑とする規定が設けられています。社内で法制度の遵
守体制を検討する際に、併せて考慮するとよいでしょう。
3. 経営者は何をすればよいか
これまで示してきた内容をもとに、企業における情報セキュリティの確保の
観点から、経営者に求められる役割（経営者は何をすればよいか）を説明しま
す7。
企業における情報セキュリティの確保に向けて、経営者は、3.1 に示す「３原
則」について認識した上で、3.2 に示す「重要 7 項目の取組」の実施を管理者層
に指示する必要があります。
3.1 経営者が認識する必要がある「３原則」
経営者は、以下の３原則を認識し、対策を進めることが重要です。
原則 1
情報セキュリティ対策は経営者のリーダーシップのもとで進める
経営者は、IT 活用を推進する中で、情報セキュリティ上のリスクを認識し、
自らリーダーシップを発揮して対策を進めることが必要です。現場の従業員は
サイバー攻撃、ウイルス感染、内部不正などの悪意による事故や、メールの誤
送信、ノート PC の紛失などの不注意による事故が身近で発生している現状にお
いて、安心して業務に従事できる環境を求める一方、利便性が低下し、面倒な
作業を伴う対策には抵抗感を示しがちです。そこで、さまざまな脅威がもたら
すリスクに対し、情報セキュリティ対策をどこまで実施し、費用をかければ、
自社の許容範囲に収まるのかを、経営者が判断して、意思決定し、自社の事業
に見合った情報セキュリティ対策を実施します。
ここに示す内容は、経済産業省及び IPA が 2015 年 12 月に「サイバーセキュリティ経営ガイ
ドライン」
（http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html）として策定
した内容を、中小企業向けに編集したものです。サイバーセキュリティはコンピュータやネット
ワークで扱う電子情報に対する故意の攻撃から保護すること意味し、情報セキュリティは、電子
情報に加え書類やフィルムなどの物理媒体、さらには会話などの音声で扱われる重要な情報を、
故意や不注意といった人為的な脅威だけでなく、自然災害や情報機器の故障などの脅威からも保
護することを意味します。パソコンやインターネットが世界中に普及した結果、コンピュータや
ネットワーク上での攻撃や不正が多発しているため、サイバーセキュリティは、組織の規模や業
種を問わず喫緊の課題になっています。なお、
「サイバーセキュリティ」と「情報セキュリティ」
の定義の違いについては、本書末尾の用語集をご参照ください。
7
原則 2
委託先における情報セキュリティ対策まで考慮する
業務の一部を外部に委託する際に、重要な情報や個人情報を委託先に提供す
る必要がある場合、その委託先にも自社と同様の情報セキュリティ対策を行っ
てもらう必要があります。たとえ提供した情報が委託先から漏えいしたとして
も、情報が漏えいした事実に変わりはないので、漏えいの影響を受ける者から
責任を問われ、取引停止や損害賠償請求にもなりかねません。そこで、委託先
や、共同で仕事を行っているビジネスパートナーなどに対して、情報漏えいを
生じさせないための情報セキュリティ対策の実施を要求するとともに、必要に
応じてそうした対策が有効に機能しているかどかを確認する必要があります。
原則 3
情報セキュリティに関する関係者とのコミュニケーションは、どんな
ときにも怠らない
業務上の関係者（顧客、取引先、委託先、代理店、利用者、株主など）から
の信頼を高めるには、平時及び緊急時のいずれにおいても情報セキュリティ上
のリスクや対策、対応に係る情報について、関係者から要求された場合にすぐ
に説明できるよう、講じている情報セキュリティ対策について整理しておくこ
とが重要です。情報セキュリティに対する取り組み方針を関係者に伝えておけ
ば、周囲にサイバー攻撃などによる事故などが発生した際にも、常日頃の取組
み方針を知っている関係者から信頼を得ることができます。
3.2 企業として実施する「重要 7 項目の取組」
経営者は、以下の「重要 7 項目の取組」について、自ら実践するか、実際に
情報資産や情報システムなどの管理を実践する管理者層に対して指示すること
で、着実に実施することが必要です。
取組 1
情報セキュリティに関するリスクを認識し、組織全体での対応方針を
定める
事業者としての責任を内外に示すことを目的として、情報セキュリティ対策
に関する組織としての方針（狭義の情報セキュリティポリシー）を定め、要求
に応じて提示できるようにしておきます。
策定の際は本ガイドラインの付録３を参考にすることができます。
取組 2
情報セキュリティ対策を行うための資源（予算、人材など）を確保する
後述する情報セキュリティ対策を実施するために必要な予算と人材を確保し
ます。なおこれには、突発的な事故（インシデント8）に対処するために必要な
体制を準備しておくことも含みます。
リスクが発現・現実化した事故のことを言います。コンピュータやネットワークに関わる事故
のことをインシデント（Incident）ということがあり、慣例句として使われます。本ガイドライ
ンでは事故とインシデントとを併用します。情報セキュリティの場合、情報の漏えいや喪失、改
ざん、情報システムの予期せぬ停止または極端な性能の低下などがインシデントに相当します。
8
取組 3
情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策
を行うのかを定めた上で担当者に実行させる
事業を行う上で見込まれる情報セキュリティに関するリスクを把握した上で、
そのリスクを封じ込めるための情報セキュリティ対策を策定します。リスクの把
握方法は本ガイドラインの第２部（21 ページ）で説明しています。また、付録３
で示されている脅威は、リスクを明確にするための参考資料として有効です。
こうしてどのような対策を行うのかを定めた上で、対策ごとの担当者を任命
し、実行させます。
例）従業員との守秘義務契約
人事担当者
事務所の入退管理
総務担当者
パソコンの管理
情報システム担当者
取組 4
情報セキュリティ対策に関する定期的な見直しを行う
情報セキュリティ対策を最初から最適な形で実現することはどんな会社でも
難しいものです。また情報技術は進化が早く、加えて脅威も変化します。その
ため、一度決めた対策がいつまでも有効であるとは限らないので、取組 3 で策
定した情報セキュリティ対策について、実際に実施していく中で改善点を明ら
かにし、定期的に対策を見直します。
また、こうした取組を取引先などに提示できるように、文書としてとりまと
めておきます。
取組 5
業務委託する場合や外部 IT システムやサービスを利用する場合は、
自社で必要と考える情報セキュリティ対策が担保されようにする
業務の一部を委託（共同実施も含む）する場合は、相手先でも自社と同程度
の対策が行われるように要求し、場合によっては相手先の実施状況を訪問など
で確認することを契約書で合意します。
また、業務で用いる IT システム（電子メール、ウェブサーバー、グループウェ
ア、ファイルサーバー、アプリケーションなど）については、社内にシステム
管理の専門性を備えた人材がいない場合は外部のサービスを利用するほうが、
コストと情報セキュリティ対策の両面から適切な場合があります。ただし、無
償サービスなど、サービスによっては必要な情報セキュリティが確保されない
ものもあるので、利用規約等を確認したうえで選定する必要があります。
取組 6
情報セキュリティに関する最新動向を収集する
情報技術の進化の速さから、脅威やその対策は目まぐるしく変化します。自
社だけで全ての脅威や対策を把握することは困難なため、情報セキュリティに
関する最新動向を発信している公的機関などの窓口を把握しておき、常時参照
することで、新たな脅威に備えるようにします。可能であれば、そうして得た
情報について、業界団体、委託先などでの共有に努めます。
取組 7
緊急時の社内外の連絡先や被害発生時に行うべき内容について準備し
ておく
サイバー攻撃などによるインシデントが発生した場合に備えて、緊急時の連
絡体制を整備します。さらに、インシデントに対応する担当者間で、整備した
連絡体制がうまく機能するかをチェックします。このチェックは、模擬的なイ
ンシデントを想定した訓練として定期的に行うようにすると理想的です。
一方、インシデントにより情報資産の漏えいなどの被害が生じた場合には、
情報資産の関係者のように、上記の連絡体制とは異なる相手への連絡も必要と
なります。こうした連絡先を予め把握しておくとともに、経営者が説明すべき
内容についても、予め整理しておきます。
第2部管理実践編
管理実践編では、情報資産や情報システムなどの管理を実践される方（管
理者層）を対象として、中小企業において情報セキュリティポリシーを策定
し、これをもとに対策を実践していくための手順について説明します。
なお、第２編の説明は、第１編３章で示した「3 原則」
「重要 7 項目の取組」
について把握されていることを前提としています。
我が社で重要な
情報とは？
委託先には
どこまで求める？
新たな脅威への
対策は未実施？
情報セキュリティ
保険は何を保障？
1. 情報セキュリティポリシーの策定手順
自社に適した内容の情報セキュリティ対策を行うには、まず企業が活動を行
う際に直面する情報セキュリティ関連のリスクを確認し、組織として実行すべ
き情報セキュリティ対策を組織の正式な規則として情報セキュリティポリシー
（以下、「ポリシー」と言います。）を定め（本書 15 ページ、取組３）、これに
基づいて従業員が行動することでリスクを現実的に問題のないレベルまで封じ
込める必要があります。ここでは、中小企業でこうした取り組みを効率よく行
うための手順について説明します。
1.1 基本的な考え方
① 自社に適合したポリシーを策定
企業が直面するリスクは、事業領域や取り扱う情報、企業を取り巻く環境に
よっても異なってきます。したがって、ポリシーのサンプルを入手して社名を
変えるだけではうまく機能しません。本章で示す手順に従って、自社に適した
ポリシーを作成することが重要です。本ガイドラインは、単一事業を営む中小
企業を主な対象にしていますので、対策基準と実施手順とを１階層に簡素化し
たポリシーの策定について説明します。
【本ガイドラインで策定するセキュリティポリシー文書構成】
事業領域
「本
情ガ
報イ
セド
キラ
ュイ
リン
テに
ィお
ポけ
リる
シ
ー
」
企業を
取り巻く
環境
方針
・・・ Why
指向・方向・原則
規則・規定・ルール・・・ What, How 方法・手段・手順
取り扱う
情報
② 情報セキュリティリスク9の大きなものから重点的に対策を実施
すべてのリスクに完全に対処しようとすると多額の出費が必要です。
かといって、
「そんな費用は払えない」から対策をしないのも問題外です。予めリスクのアセス
メント（分析／特定・算定と評価）を行い、リスクが大きなものから重点的に対策
を定めます。リスクが小さなもの、すなわち発生の可能性が小さいか、発生しても
被害が限定的なものについては、あえて対策を講じない（これを「リスクの保有」
と呼びます。
）ことで費用を抑制するという判断も必要になります。
リスク大
リスク小
リスク
リスク
リスク
リスク
リスク
リスク
標的型攻撃で
個人情報が
漏えい
サーバ故障
で業務停止・
データ消失
モバイルPC
盗難で営業
秘密漏えい
フィッシング
で不正送金
複合機の
故障で
半日修理待ち
隕石が
オフィスを
直撃
情報セキュリティ対策の対象
実務上
許容できる
リスクの保有
発生頻度は
無視できる
1.2 ポリシー策定までの流れ
ポリシー策定は、以下の流れに基づいて行われます。
①管理すべき
情報資産選定
②リスク値
算定
③情報セキュリ
ティ対策決定
④ポリシー
策定
以下では、それぞれの段階で行うべき作業について説明します。
① 対象とすべき情報資産の選定
企業として扱っている情報の中から、管理する必要のあるものを選び、これ
らを「情報資産」として定義した上で、
「情報資産管理台帳」に書き出します。
企業が日々の業務において扱う情報のうち、どのような情報が情報資産に該当
するかについては、業種や事業内容によっても異なるため一概には言えません
が、書き出した情報資産の重要度を、機密性、完全性、可用性それぞれの観点
情報セキュリティリスクとは、脅威が情報資産のぜい弱性に付け込み、その結果、組織に損害
を与える可能性に伴って生じます。
（JIS Q 27000:2014 における定義（注記 6）
）
9
で評価します。重要度は数値10で表します（表１参照）。
【表 1】情報資産の機密性・完全性・可用性に基づく重要度の定義
重要度
分類
※
該当する情報の例
 特定個人情報（マイナンバー）
法令で適切に保護することが求めら
 個人情報（個人情報保護法が定めるもの）
れている
（含む、医療・保健・介護関連情報）
機
密
性
秘密保持契約の対象として指定され  取引先から秘密として提供された情報
ている
３
漏えいすると取引先や顧客に大きな
影響がある
自社の営業秘密として保護すべき
 自社の業務ノウハウ
漏えいすると自社に深刻な影響があ  取引先リスト
る
 特許出願前の発明情報
２
漏えいすると業務に大きな影響があ  顧客（取引先）との取引に関する情報
る
 従業員やアルバイトの勤務に関する情報
１漏えいしても業務に影響はない
完
全
性
２
 財務・会計情報
改ざんされると業務に大きな影響が
 受発注・決済・契約情報
ある
 ホームページ掲載情報
１改ざんされても業務に影響はない
可
用
性
 自社製品カタログ
 ホームページ掲載情報
 廃版製品カタログデータ
 製品の設計図面
利用できなくなると業務に大きな影
２
 商品・サービスに関するコンテンツ
響がある
（インターネット向け事業の場合）
利用できなくなっても業務に影響は  廃版製品カタログ
ない
※重要度は機密性・完全性・可用性それぞれで評価します。
１
なお、情報資産管理台帳の具体的な作成方法については、本ガイドラインの
付録３にて説明しています。
② リスク値算定
①選定した情報資産について、リスク値（リスクの大きさ）を算定します。
情報セキュリティにおけるリスク値を算定するにはいくつか方法がありますが、
代表的な方法の場合、以下の 3 つの要素の掛け合わせによって決まります。
 対象となる情報資産の重要度（資産価値11）
作業中に数値を使うことがありますが、これは情報資産の重要度やリスクの大きさを定量的
に表したほうが、重点的に対策すべき情報資産が解りやすくなるためです。おおよその見当がつ
けばよく、緻密に計算する必要はありません。
11 企業にとってある情報が秘密であることで資産価値を生じさせている場合、その情報を不正
競争防止法で保護するには、
同法が定める営業秘密の定義
「秘密として管理されている生産方法、
10
 脅威がどの程度起こりうるか（脅威の発生確率/頻度）
 被害を生じさせるきっかけがあるか（脆弱性）
リスク値＝(a)資産価値 × (b)脅威の発生確率/頻度 × (c)脆弱性
これらについて、それぞれのリスクの大きさ 3 段階の数値で表すと表 2 のよ
うに表すことができます。
【表 2】リスク値の算定のための数値の定義
指標
3
漏えいが企業の
存続を左右する
2
1
漏えいが企業の業務に
漏えいしても
機密性
重大な影響を及ぼす
大きな影響なし
(a)対象とな
る情報資産
改ざんが企業の業務に改ざんがあっても
完全性
の重要度（資
重大な影響を及ぼす
大きな影響なし
産価値）
情報が利用不可で業務利用できなくても
可用性
に重大な影響あり
大きな影響なし
(b)脅威がどの程度起通常の状態で発生する
通常では
特定の状況で発生する
こりうるか
（いつ発生しても
発生しない
（年に数回程度）
（発生確率や頻度）
おかしくない）
（数年に1回未満）
(c)被害を生じさせる
ある
一部残存
ほぼない
きっかけ（脆弱性）
（ほぼ無防備）
（部分的対策）
（対策済み）
中小企業で扱う典型的な情報資産に関する脅威とそれがもたらすリスクの例
を付録３に示します。このうち典型的なものについて、上記の 3 要素からリス
クがどのように評価されるかの例を表 3 に示します。
【表 3】脅威例に応じたリスクのレベル
脅威の例
リスク値（リスクの大きさ）のレベル
資産価値脅威の発
脆弱性 a×b×c
(a)
(c)
生頻度(b)
※
総合的な
リスクの
大きさ
営業情報を保存しているノートパ
ソコン（暗号化せず）の紛失
2
2
3
12
リスク中
暗号化してあれば
2
2
1
4
リスク小
お客様の個人情報が登録された
ウェブサイトへの不正アクセスに
よる情報漏えい（対策不十分）
3
3
2
18
リスク大
対策を実施すると
3
3
1
9
リスク中
標的型攻撃メールを誤って開いて
2
3
2
12
リスク中
販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないも
の」を満たす必要があります。これは次の①～③の３要件によって構成されます。
① 秘密管理性（秘密として管理されていること）
② 有用性（生産方法、
販売方法その他の事業活動に有用な技術上又は営業上の情報であること）
、
③ 非公知性（公然と知られていないこと）
しまった従業員個人 PC からの、
顧客との取引情報の漏えい
地震によるサーバーの損傷による
データの消失
（バックアップ対策なし）
3
1
3
9
リスク中
※本表では 1～4 をリスク小、8～12 を中、18 以上を大としています。
③ 情報セキュリティ対策決定
続いて、リスク値の大きいものから対策を検討し、自社に適した対策を決定
します。なお対策は以下のように区分して検討します。
ア）リスクを低減する
自社で実行できる情報セキュリティ対策を導入ないし強化することで、脆
弱性を改善し、事故が起きる可能性を下げます。
イ）リスクを保有する
事故が発生しても許容できる、あるいは対策にかかる費用が損害額を上回
る場合などは対策を講じず、現状を維持します。
ウ）リスクを回避する
仕事のやりかたを変える、情報システムの利用方法を変えるなどして、想
定されるリスクそのものをなくします。
例えば、従来は機密情報をコピーして関係者に配付していたが、配付先で
の漏えいを避けるために、それを止めて必要なときに保管している部屋で閲
覧してもらう、インターネットバンキングに使用するパソコンでメールや
Web 閲覧をしていたが、ウイルスに感染しないようにインターネットバンキ
ング専用のパソコンを設置し、ウイルス感染の原因となるメールソフト、ブ
ラウザをインストールせず、USB メモリ、外付け HDD も接続を禁止する、
などがあります。
また、リスク値が大きく自社の対策だけでは不十分であったり、多額の費用
がかかり、実施できない場合は以下を検討します。
エ）リスクを移転する
自社よりも有効な対策を行っている、あるいは補償能力がある他社のサー
ビスを利用することで自社の負担を下げます。
例えば、EC サイト運用におけるクレジットカード決済業務を外部の決済
代行サービスに変更する、社内のサーバーで運用していた業務システムをセ
キュリティ対策の充実した外部クラウドサービスに移行する、情報漏えい、
システム障害などの事故発生に伴う損失に対して保険金が支払われる情報セ
キュリティ保険に加入する、などがあります。
【コラム】情報セキュリティ保険とは
個人情報保護法の施行後、個人情報の漏えいを生じさせてしまった企業に
対して、損害賠償費用ならびに法律相談、事故対応、見舞金等の費用損害相
当額を支払う保険が登場しました。現在は個人情報以外の秘密情報の漏えい
事故にも対応するものが、「サイバーセキュリティ対策保険」として損害保
険各社から提供されているほか、団体型の商品として日本商工会議所が会員
向けの「情報漏えい賠償責任保険制度」を提供しています。こうした保険で
は、プライバシーマークや ISMS 認定を取得していたり、適切な情報管理体
制を導入していたりすると保険料が割引になるため、情報セキュリティ対策
を行うことが経済的な利点となっています。
④ ポリシー策定
以上の検討結果をもとに、「リスクの低減」のために決定した対策を社内の
正式なルールとして文書化し、ポリシーとしてとりまとめます。具体的なポリ
シーの策定方法については付録３で説明しています。
＜本ガイドライン付録３で用意しているひな型＞
ひな型名称
1
2
3
4
5
6
7
8
9
10
11
12
13
組織的対策
人的対策
情報資産管理
アクセス制御及び認証
物理的対策
ＩＴ機器利用
ＩＴ基盤運用管理
システムの開発及び保守
委託管理
情報セキュリティインシデント対応
及び事業継続管理
マイナンバー対応
秘密保持契約書
社内体制図
適用条件
（原則としてすべての企業）
（原則としてすべての企業）
（原則としてすべての企業）
（原則としてすべての企業）
（原則としてすべての企業）
（原則としてすべての企業）
（原則としてすべての企業）
社内でシステム開発を行う場合
何らかの外部委託を行う場合
（原則としてすべての企業）
（原則としてすべての企業）
秘密情報のやりとりを行う場合
従業員数２名以上
1.3 委託時の情報セキュリティ対策
業務委託や複数の企業で共同作業を行ったり、あるいは委託先がさらに再委
託する場合など、自社と同程度の情報セキュリティ対策を相手方に求める必要
があります。委託契約を行う場合、機密情報の取り扱いに関する、必要かつ適
切な情報セキュリティ対策について、委託先と合意し、具体的に契約書に明記
します。具体的な対策がなく、事故が発生した場合の損害賠償請求のみの規定
では、委託先が事故を未然に防ぐための対策を講じないことがあり、望ましく
ありません。付録３に示す例を参考に、機密情報の種類、業務委託関係などの
諸条件を考慮して、委託先と協議のうえ、委託先が実施する適切な情報セキュ
リティ対策を契約条件に含めて締結します。
【コラム】業務委託
業務委託とは自社以外の組織あるいは個人に、自社の業務を行ってもら
うことです。請負、外注、委任、準委任などともいうことがありますが、
一般的にどのような会社でも自社だけで全ての業務をこなすことはまれで、
必ずといっていいほど委託している業務があります。例えば郵便や宅配便
で荷物を運んでもらう、税理士に帳簿や決算書を作成してもらうなど、事
業は委託によって成り立っているといっても過言ではありません。そして
委託を行う際には、必ず情報の授受が発生します。郵便や宅配便であれば
送り先の住所や宛名を伝票に記入します。帳簿や決算書の作成には、売上
伝票や出金伝票などの帳票を税理士に渡す必要があります。この中に自社
の情報資産が含まれる場合、自社だけが情報セキュリティ対策を行ってい
ても、委託先が対策を怠っていれば、事故が発生する可能性が高くなりま
す。実際に起きている情報セキュリティ事故の原因として、委託先の対策
不足などに因るものも多いため、委託時の情報セキュリティ対策はとても
重要です。
2. 情報セキュリティ対策の実行
前章で策定したポリシーを組織全体で理解し、実行します。
(1) 通常時の実行における役割
実行において、関係者はそれぞれ次の役割を担います。セキュリティの性格
上、アルバイトなども含めてひとりでも対策を実行しない人がいると、全体の
セキュリティが保てなくなってしまいますので、雇用関係のあるすべての従業
員は社内規則のひとつであるポリシーを遵守する必要があります。
分類
経営者
管理者層
それぞれの役割
・情報セキュリティ対策に必要な予算・人材の確保
・情報セキュリティ方針の周知
・部下に対するポリシーの説明
・必要に応じたポリシーの改善
・異常に関する監視
一般従業員・ポリシーの実施
(2) 緊急時の対応
情報セキュリティに関するインシデント（情報の漏えいや喪失、改ざんの発
生、日常使用している機能の停止または著しい性能低下など）の発生またはそ
れが疑われる状況においては、上述の役割とは異なる対応が必要になる場合が
あります。
 インシデントが判明した場合は、速やかに所定の担当に報告を行うことを、
すべての従業員と経営者ならびに外部の関係者にも周知しておく必要があり
ます。
 異常事態になってはじめて平常時と異なる対応をしようとしてもうまくいき
ません。誰が何を担当するかを予め決めておく必要があります。具体的には
以下を実行するための役割を決めておくことが望まれます。
① 緊急時における指揮命令と対応の優先順位の決定
② インシデントへの対応（インシデントレスポンス）
③ インシデントの影響と被害の分析
④ 情報収集と自社に必要な情報の選別
⑤ 社内関係者への連絡と周知
⑥ 外部関係機関との連絡
【コラム】サイバーセキュリティ
現在の社会はインターネットなどのコンピュータやネットワークを活用し
たサイバー空間における電子商取引や情報のやりとりなどの活動に大きく依
存しています。こうした活動において詐欺行為が行われたり、サービス妨害
攻撃などで活動そのものが阻害されたりすると、企業による事業への影響も
大きいため、情報セキュリティ対策とは別に、こうしたリスクに対する安全
を確保することを「サイバーセキュリティ」として区別することが増えてい
ます。サイバーセキュリティ対策が不十分な場合、自社が被害にあうだけで
なく、自社のサーバーや IT 機器を第三者に対する攻撃の踏み台として利用
されてしまうこともあります。メールサービスが踏み台 1 にされると迷惑メー
ル 2 の発信元としてブラックリストに登録され、メールの送信が不可能とな
ることで、業務に支障が生ずる恐れもあります。このように、社会に対する
責任の観点からもサイバーセキュリティ対策は不可欠です。
1 踏み台
不正アクセスを行う際の中継地点として他人のコンピュータを使用する不正行為。迷惑メールの発信に利用されること
があり、踏み台に利用されたコンピュータは、所有者が気付かないうちに、攻撃に加担していることになります。
2 迷惑メール
商用目的かどうかによらず、宣伝や嫌がらせなどの目的で不特定多数に大量に送信されるメールのこと。SPAM
（スパム）メールとも呼ばれます。
【コラム】ウイルス対策ソフトウェアを入れておけば安心？
2010 年以前、コンピュータウイルスやマルウェアによる攻撃のほとんど
は、世界的に同じ種類の悪意のソフトウェアが動作されることによって生
じていました。したがって、ウイルス対策ソフトウェアを最新の状態で動
作させることで、高い確率で防ぐことができたのです。しかしながら、2010
年代に入ってからは、標的型攻撃に代表されるように、特定のサイトやシ
ステムのみを攻撃するマルウェア 1 が多くなり、これらは標準的なウイルス
対策ソフトウェアでは検知できないケースがほとんどです。古いタイプの
マルウェアも依然として流通していますし、未知のマルウェアの不自然な
挙動をブロックする機能を追加している製品などもありますので、ウイル
ス対策ソフトウェアを導入することは引き続き有効ですが、導入しておけ
ば安心というわけではないことに留意してください。
1 マルウェア
コンピュータウイルス、スパイウェア、ボットなどの不正プログラムの総称。経済産業省「コンピュータウイルス対策基
準」では「(1)自己伝染機能」、「(2)潜伏機能」、「(3)発病機能」をもつものをウイルスと定義しています。これ
ら以外の不正プログラムを含めて一般にはウイルスと呼ばれることが多く、コンピュータウイルスを発見、またはコン
ピュータウイルスに感染した場合には、感染被害の拡大と再発防止に役立てるために、IPA へ届け出ることとさ
れています。
2011 年の刑法改正では、不正指令電磁的記録に関する罪（通称ウイルス作成罪）として正当な理由も
なくウイルスを作成や提供した場合は、処罰対象になりました。ウイルス被害は後を絶たず、深刻な問題となって
います。
【IPA:コンピュータウイルス・不正アクセスの届出状況および相談状況 2014 年第 1 四半期(1 月～3 月)から】
3.
チェックと改善
情報セキュリティ対策が適切に実施されることを担保するためには、ポリシー
を策定し、全従業員にその遵守を指示するだけでなく、実際に実施されている
かどうかのチェックが必要です。チェックの結果、脅威に対して十分な対策が
講じられていないと判断される場合は、ポリシーが適切に実践されていないこ
とによるのか、ポリシーを見直す必要があるのかを見極めた上で、状況に応じ
た改善措置を行います。
(1) チェックの方法
ポリシーで要求されている事項に関するチェックシートを作成した上で、遵
守状況のチェックを行います。大企業の場合、社内の監査部門が現場部署を対
象にチェックを行うのが一般的ですが、中小企業では監査担当者が任命されて
いないことが多いかと思います。こうした場合、部署ごとに自己点検を行い、
情報セキュリティの担当者及び経営者がその結果を確認するのが最も効率的な
方法です。ただし、こうした監査や点検が形式的なものになっては意味がない
ため、あらかじめ以下の点を社員に周知させておく必要があります。
 定められた対策を実施できていないのを咎めることが目的ではないので、実
態を正直に回答してよいこと
 実施できていない場合は、その原因と考えられることを報告すること
なお、こうしたチェックをより効果的に行うためには、情報セキュリティ監
査の考え方に基づいて実施するのが適切です。概要を次章 4.(2)に示します。
(2) 改善の方法
ポリシーの改善が必要となるのは、以下の場合です。必要に応じて 1.に示し
たポリシー策定手順を再度実施し、ポリシーの改定を行います。
 ポリシーに欠陥があり、対策を実施しても現場の情報セキュリティに改善が
みられない場合
 現場業務手順とポリシーで定められた規定が整合せず、ポリシーの遵守が困
難な場合
 新たな脅威が発生したり、会社の業務が変化したりしたことで、既存のポリ
シーでは対処が困難となった場合
4. 情報セキュリティ対策のさらなる改善に向けて
ここでは、これまでの対策を実践済みの組織に向けて、情報セキュリティマ
ネジメントシステムに関する国際規格 ISO/IEC2700112の考え方をもとに、情報
セキュリティ対策をさらに改善するための方法について紹介します。
(1) 情報セキュリティマネジメントサイクルによる継続的改善
ISO/IEC27001 が定めているマネジメントシステム（管理のしくみ）の考え方
の基本は、Plan（計画）、Do（実行）、Check（チェック）、Act（見直し）の４
段階の活動（PDCA サイクル13）を順に繰り返すことを通じて改善していくこと
にあります。情報セキュリティ対策で見ると、それぞれ次の活動に相当します。
 Plan:
情報セキュリティポリシーの策定
 Do:
情報セキュリティポリシーの実践
 Check:
監査・点検による活動の有効性確認と
経営者による必要な改善箇所の決定
 Act:
決定事項の実行
Check の機会は少なくとも年１回、インシデントが発生した場合や自社を取り
巻く状況が変化した場合には随時行います。Check 及び Act に関する活動の詳
細は次項で説明します。
ACT
PLAN
CHECK
DO
日本では JIS Q 27001 として規格化されています。
PDCA サイクルは戦後、品質管理手法として製造業を中心に導入され、大きな成果をあげま
した。今では事業活動全般の改善手法として広く普及しています。
12
13
(2) 情報セキュリティ対策に関する標準規格
本ガイドラインでは、付録３において情報セキュリティ対策の国際規格であ
る ISO/IEC 27002（情報セキュリティ管理策の実践のための規範）から中小企
業に必要とされる対策を抜粋して、ひな型としています。
情報セキュリティマネジメントの実践に関して国際的な認証（ISMS 認証
情
セキュリティに対する取り組みを第三者機関が確かめて証明する制度）を取得
しようとすると、ISO/IEC 27001（情報セキュリティマネジメントシステム要求
事項）14で定義されている PDCA を実行し、ISO/IEC27001 附属書 A にリスト化
された対策（ISO/IEC 27002 をそのまま引用したもので管理策と呼びます）を
参照して対策に見落としがないかどうかを検証します。
情報セキュリティ対策の目的はリスクの低減であり、認証を取得する、しな
いに関わらず標準規格に準拠することで、情報セキュリティ対策はレベルアッ
プします。本ガイドラインの付録３で示す対策は、中小企業でも取り組みやす
いように国際規格から抜粋し、解りやすい表現にしていますが、必要な対策を
省いているわけではありませんので、活用すれば国際規格と同等の管理レベル
になります。
(3) 情報セキュリティ監査・点検の実施
情報セキュリティ監査・点検とは、策定した情報セキュリティポリシーが、
実行されているか、あるいは策定した情報セキュリティポリシーがリスク低減
に有効かどうかを客観的に評価することを言います15。評価の基準となるものは
情報セキュリティポリシーに定められたルールそのものか、あるいは定められ
たルールが情報セキュリティに有効かどうか、ルールの根拠となったリスクの
確認方法です。監査・点検のやりかたは自由ですが、一般に以下の方法を組み
合わせて実施します。
 質問（ヒアリング）：従業員や委託先の管理者などに直接質問して回答を求
める
 閲覧（レビュー）：情報セキュリティポリシーの関連手続きで申請書などの
帳票や、コンピュータのログ、設定内容など実行の証拠となるもの見て確認
14詳細は同規格に基づく日本工業規格
JIS Q 27001:2014 および附属書 A の引用元である日本工
業規格 JIS Q 27002:2014 を参照して下さい。
15 客観的な立場で第三者機関が情報セキュリティに対する取り組みを評価する制度(第三者認証
制度といいます)として国際規格 ISO/IEC27001 を基準とした ISMS 適合性評価制度があります。
また、監査基準や監査手続きのモデルを公表した経済産業省の情報セキュリティ監査制度などが
あります。第三者認証制度は利害関係のない第三者の評価により偏りや利害抵触を防ぎます。本
ガイドラインの監査・点検は従業員が実施することを想定していますが、監査・点検を行う従業
員自らの業務を対象とせず、他の業務を対象とすることで、監査結果の偏りや利害定食を防ぐこ
とが可能です。
する
 観察（視察）：監査・点検者が現場に赴き、情報セキュリティ対策を行う当
事者が情報セキュリティポリシーに従った行動をしていることを目視で確認
する
 再実施：技術的対策の運用状況などについて、監査・点検者が自ら試すこと
によって検証する（情報システムや社内ネットワークにおける脆弱性対策の
検証を目的として、専用ソフトウェアを使い脆弱性診断を行うこともある）
【コラム】情報セキュリティ監査・点検の実施例
 情報セキュリティポリシーの IT 機器利用を基にチェックシートを作成
する。
 チェックシートに従い、営業部社員に質問、観察を行う。
監査人「IT 機器利用では、業務で利用者するパソコンにはログインパスワー
ドを設定する、と規定されていますが、モバイルパソコンにもログイン
パスワードを設定していますか？」
相手
「はい。設定しています。」
監査人「では、ログインしてみてください。」
相手
「（ログイン）」
監査人「ログインパスワードは４桁でしたが、その通りですか？」
相手
「はいそうです。忘れないようにパスワードは名前のアルファベットに
しています。」
 複数相手に質問、観察を行い、その回答から総合的に評価・判定する。
この場合は、ポリシーをきちんと実行している人がいましたが、ポリシー
にパスワードの強度まで規定していないため、リスクの確認が不十分（パス
ワードに関して桁数、使用する文字、推測しにくいなど強度に関して規定さ
れていない）という評価・判定になり、ポリシーの改訂が必要になります。
監査・点検というと難しく思えるかもしれませんが、スポーツの審判のよ
うに、ルールを基準とし、選手が基準を満たしているか判定することと同じ
です。客観的に評価、判定することで、気付かなかった不備が明確になりま
すので、情報セキュリティのレベルアップにはとても役に立ちます。
(4) 改善の実施
ISO/IEC27001 では、監査・点検の結果や、関係者から提供された情報をもと
に、情報セキュリティマネジメントが適切に行われていることを経営者が判断
し、意思決定することを「マネジメントレビュー」と呼び、その決定に従い、
不備や不十分なところを改善することが求められています。企業の規模によら
ず改善が必要になったときには、経営者または経営者に権限を委譲された人が、
改善の必要性を判断し、実行する必要がありますので、改善を実施するにあたっ
ては、経営者のほか、少なくとも情報セキュリティ対策の運用担当者や、イン
シデント対応の担当者、監査・点検担当者が参加するとよいでしょう。
経営者や管理者層における議論、検討を通じて、情報セキュリティポリシー
や具体的な対策に関する従業員や関係者の理解を促し、不備を改善し、今後に
向けた改善につなげていきます。
おわりに
本ガイドラインの初版は、2009 年に策定されました。当時、中小企業でも自
社のウェブサイトの立ち上げ、電子商取引の活用、財務会計システムの導入な
どの IT 活用が進む一方、Winny などのファイル共有アプリケーションを経由し
た情報漏えいが問題となるなど、中小企業においても取引先から情報セキュリ
ティ対策の実施を求められる場面も増えていました。
こうした状況において、IPA
が中小企業を対象として作成したのが本ガイドラインの初版です。
作成から 7 年を経て、IT 環境や情報セキュリティに関する脅威は大きく変化
しています。標的型攻撃の巧妙化により、適切な対策を実施していても被害を
完全に防ぐことが困難になる中、異常事態の発生を素早く検知し、被害を最小
限に抑制するための体制が注目されるなど、対策面でも変化が生じています。
また、マイナンバー法の施行、個人情報保護法の改正などに伴い、企業規模を
問わず情報セキュリティに対する社会的要請、法的責任が拡大し、中小企業に
おいても情報セキュリティへの取り組みは優先課題となっています。
一方で、中小企業では依然として資金面や人材面での制約から情報セキュリ
ティ対策の実施が難しいといわれており、実際の統計からも大企業に比較すれ
ば対策が進んでいない傾向が認められます。こうした状況を踏まえ、近年、変
化・増大する脅威に対する情報セキュリティ対策を、適切かつ有効なものとす
ることを目的として、本ガイドラインの初版の内容を抜本的に見直し、改訂版
を作成することとしました。
中小企業は情報セキュリティ対策に十分な経営資源を割り当てることができ
ないという不利を抱える一方で、経営者を含め「従業員の顔が見える」という
有利な条件を備えています。情報セキュリティの第一歩は、経営者が情報セキュ
リティの重要性を自ら認識し、そのことを従業員に伝え、従業員がその対策を
行う意義を理解することです。つまり、
「従業員の顔が見える」ということは経
営者が直接管理者・担当者に対策を指示することができ、対策の結果について
も直接報告を受けることができるなど、大企業に比べて迅速に対応ができると
いう有利な条件を備えています。また、この特質を生かすことで、大企業では
必要となるセキュリティ監視や情報共有のための設備が不要とできるため、大
企業よりも費用をかけずに対策を実現することも可能です。そうした工夫を行
うためのヒントとして、本ガイドラインをご活用いただければ幸いです。
本書で用いている用語の説明
インシデント
リスクが発現・現実化した事故のことを言います。コンピュータやネッ
トワークに関わる事故のことをインシデント（Incident）ということが
あり、CSIRT（Computer Security Incident Response Team）のように
慣例句として使われます。本ガイドラインでは事故とインシデントとを
併用します。情報システムの場合、情報の漏えいや喪失、改ざんの発生、
日常使用している機能の停止または極端な性能の低下などがインシデン
トに相当します。
個人情報
① 広義の個人情報：「個人に関する情報」のことを言い、特定の個人を識
別できなくても、当該個人がプライバシーに関わると考える情報を含み
ます。
② 個人情報保護法における定義：「生存する個人に関する情報であって、
当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を
識別することができるもの（他の情報と容易に照合することができ、そ
れにより特定の個人を識別することができることとなるものを含む。）」
とされています。
③ 特定個人情報：マイナンバー法（行政手続における特定の個人を識別す
るための番号の利用等に関する法律）が定める
「個人番号（マイナンバー）」
をその内容に含む個人情報のことを言います。
サイバーセキュリティ
① サイバーセキュリティ基本法による定義：「電子的方式、磁気的方式そ
の他人の知覚によっては認識することができない方式（以下本項におい
て「電磁的方式」という。）により記録され、又は発信され、伝送され、
若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情
報の安全管理のために必要な措置並びに情報システム及び情報通信ネッ
トワークの安全性及び信頼性の確保のために必要な措置（情報通信ネッ
トワーク又は電磁的方式で作られた記録に係る記録媒体を通じた電子計
算機に対する不正な活動による被害の防止のために必要な措置を含む。）
が講じられ、その状態が適切に維持管理されていること」を言います。
② サイバーセキュリティ経営ガイドラインの定義：
「サイバーセキュリティ
とは、サイバー攻撃により、情報の漏えいや、期待されていた IT システ
ムの機能が果たされない等の不具合が生じないようにすること」を言い
ます。
③ NIST（米国標準技術研究所）による定義：「攻撃を防止し、検知し、攻
撃に対応することにより情報を保護するプロセス」のことを言います。
CSIRT（シーサート、Computer Security Incident Response Team）
サイバー攻撃による情報漏えいや障害など、コンピュータセキュリティ
にかかるインシデントに対処するための組織のことを言います。
情報セキュリティ
情報の機密性、完全性、可用性を維持することを言います。
情報セキュリティインシデント
情報セキュリティ分野において、情報セキュリティリスクが発現・現実
化した事象のことを言います。
情報セキュリティポリシー
企業・組織における情報セキュリティに関する理念である意図と方針を、
経営者が正式に表明したものです。本ガイドラインでは、中小企業向け
であることを踏まえ、情報セキュリティ対策に関する基本方針、対策基
準のほか、実施手順まで含めたものを付録に例示しています。
情報セキュリティマネジメントサイクル
Plan（計画）、Do（実行）、Check（チェック）、Act（見直し）の４段階
の活動を順に繰り返すことを通じて、企業で行う情報セキュリティ対策
を継続的に改善していく取り組みのことを言います。

Download Report