業界動向

セキュリティポリシーの作り方【テンプレート付き】中小企業向け解説【2026年版】

セキュリティポリシーの作り方【テンプレート付き】中小企業向け解説【2026年版】

セキュリティポリシーの作り方【テンプレート付き】中小企業向け解説【2026年版】

サイバー攻撃の被害を受けた企業の多くに共通する問題点がある。「ルールが口約束のままだった」「担当者が変わったら対策が途切れた」「何を守るべきか明文化されていなかった」——こうした組織的な脆弱性を防ぐ根本的な手段が、情報セキュリティポリシーの策定である。

本記事では、中小企業がゼロから情報セキュリティポリシーを作成するための手順を、テンプレート例・チェックリストとともに解説する。

1. セキュリティポリシーとは?なぜ必要か

定義:セキュリティポリシーとは何か

情報セキュリティポリシー(以下、セキュリティポリシー)とは、組織が保有する情報資産を守るために定めた方針・ルール・手順の体系的な文書群である。単なる「禁止事項リスト」ではなく、経営レベルの意思決定から現場の具体的操作手順まで、階層的に整理された規程体系を指す。

IPA(情報処理推進機構)の定義によれば、情報セキュリティポリシーは「組織における情報セキュリティに関する基本的な方針・対策の基準・実施手順の3層構造で構成される」ものとされている。

なぜ中小企業にこそ必要なのか

2026年現在、サイバー攻撃の標的は大企業から中小企業へと明確にシフトしている。独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2026」においても、サプライチェーン攻撃・ランサムウェア・標的型攻撃が上位を占め、その多くは中小企業を踏み台として大手企業へ侵入する手口が採用されている。

セキュリティポリシーが必要な理由は以下の4点に集約される。

1. 法的・契約上の要請への対応 個人情報保護法の改正(2022年・2024年)、GDPR、取引先からのISMS認証要求など、セキュリティポリシーの整備が取引継続の条件となるケースが増加している。

2. インシデント発生時の被害最小化 ルールが明文化されていれば、インシデント発生時に従業員が自律的に正しい行動を取れる。曖昧なルールは対応の遅延と被害拡大を招く。

3. 責任範囲の明確化 「誰が何を守る責任を持つか」を規程化することで、属人的な対応を防ぎ、組織全体のセキュリティ水準を均質化できる。

4. 経営リスクとしての認識共有 ポリシー策定のプロセス自体が、経営陣のセキュリティ意識向上につながる。文書化されていない対策は、経営判断に組み込まれない。

2. 3層構造(基本方針・対策基準・実施手順)の解説

情報セキュリティポリシーは、一般的に3つの階層で構成される。この構造を理解せずに「とりあえず規程を作る」と、現場で使えない形骸化した文書になりがちである。

第1層:情報セキュリティ基本方針(ポリシー)

組織として「なぜセキュリティに取り組むか」「何を守るか」を経営者の言葉で宣言する最上位文書。1〜3ページ程度が適切で、技術的な詳細は記載しない。

項目

内容

目的

何のためにセキュリティに取り組むか

適用範囲

どの組織・システム・情報に適用されるか

経営者の宣言

セキュリティを経営課題として取り組む意志表明

基本原則

機密性・完全性・可用性の確保

組織体制

責任者・担当者の設置

特徴: 経営者が署名・承認し、社内外に公開できる内容にとどめる。見直し周期は年1回が標準。

第2層:情報セキュリティ対策基準(スタンダード)

「何をしなければならないか」を具体的なルールとして定めた文書群。基本方針を実現するための技術的・組織的な要件を規定する。複数の規程に分割して整備することが多い。

代表的な対策基準の例:

  • アクセス管理規程
  • パスワード管理規程
  • 端末・デバイス管理規程
  • インシデント対応規程
  • 情報資産管理規程
  • 外部委託管理規程
  • 物理セキュリティ規程
  • テレワーク・リモートアクセス規程

特徴: 部門・役割ごとの義務を明記する。技術の変化に合わせて改定が必要なため、基本方針より改定しやすい構成にする。

第3層:実施手順(プロシージャ)

「どのように実施するか」を手順書・マニュアルとして詳細化した文書。担当者が実際の操作・作業に使用する。

実施手順の例:

  • パスワード変更手順書
  • バックアップ実施手順書
  • インシデント報告フロー
  • 新入社員セキュリティ教育チェックリスト
  • クラウドサービス利用申請フォーム

特徴: 最も頻繁に更新される。システム変更・担当者交代のたびに見直す。

3層構造の関係図

` ┌─────────────────────────────────────────┐ │ 第1層:情報セキュリティ基本方針 │ ← 経営者が宣言・社外公開可 │ (なぜ・何を守るか) │ └──────────────┬──────────────────────────┘ │ 具体化 ┌──────────────▼──────────────────────────┐ │ 第2層:情報セキュリティ対策基準 │ ← 管理者・社員が遵守 │ (何をしなければならないか) │ └──────────────┬──────────────────────────┘ │ 手順化 ┌──────────────▼──────────────────────────┐ │ 第3層:実施手順(プロシージャ) │ ← 担当者が日常業務で参照 │ (どのように実施するか) │ └─────────────────────────────────────────┘ `

3. 必須記載項目チェックリスト

セキュリティポリシーに最低限含めるべき項目を層別にまとめた。策定後の自己チェックにも活用できる。

第1層(基本方針)の必須項目

  • [ ] 策定日・改定日・バージョン番号
  • [ ] 経営者(代表取締役等)の署名・捺印
  • [ ] ポリシーの目的と背景
  • [ ] 適用範囲(対象組織・情報システム・従業員・委託先等)
  • [ ] 情報セキュリティの定義(機密性・完全性・可用性)
  • [ ] 基本原則(最小権限の原則、必要知識の原則など)
  • [ ] 組織体制(責任者・担当部門の設置)
  • [ ] 教育・訓練の実施方針
  • [ ] 法令・規制への準拠姿勢
  • [ ] 違反時の対応方針(懲戒・報告義務)
  • [ ] 見直しサイクルの明記

第2層(対策基準)の必須項目

情報資産管理

  • [ ] 情報資産の分類基準(極秘・社外秘・一般など)
  • [ ] 資産台帳の整備義務
  • [ ] 媒体(USBメモリ・紙文書)の取扱いルール

アクセス制御

  • [ ] ユーザーアカウント発行・削除の手続き
  • [ ] パスワードの強度要件・有効期限
  • [ ] 多要素認証(MFA)の適用範囲
  • [ ] 特権アカウントの管理規則

物理セキュリティ

  • [ ] 入退室管理の区域区分
  • [ ] 機器・端末の持ち出しルール
  • [ ] クリアデスク・クリアスクリーンの義務

技術的対策

  • [ ] マルウェア対策ソフトの導入・更新義務
  • [ ] OSおよびソフトウェアのパッチ適用義務
  • [ ] ファイアウォール・UTMの設置義務
  • [ ] バックアップの実施頻度・保存場所

インシデント対応

  • [ ] インシデントの定義・分類
  • [ ] 報告ルート(誰に・何を・いつまでに)
  • [ ] 外部通報義務(個人情報漏えい等)

外部委託・サプライチェーン

  • [ ] 委託先の選定基準
  • [ ] 契約書に盛り込む条項
  • [ ] 委託先の監査・評価方法

テレワーク・クラウド

  • [ ] リモートアクセスの許可手続き
  • [ ] 私物デバイス(BYOD)の可否・条件
  • [ ] クラウドサービス利用の申請・承認フロー

第3層(実施手順)の必須項目

  • [ ] 新入社員・異動時のアカウント設定手順
  • [ ] 退職・異動時のアクセス権剥奪手順
  • [ ] パスワードリセット手順
  • [ ] バックアップ実施・復旧確認手順
  • [ ] マルウェア感染時の初動対応手順
  • [ ] 情報漏えい発生時の報告フロー
  • [ ] セキュリティ教育の実施スケジュール

4. 策定の手順(ステップバイステップ)

ステップ1:推進体制の構築(1〜2週間)

まず、ポリシー策定を推進する体制を整える。担当者1人に丸投げするのではなく、経営層・IT担当・法務・人事の代表者で構成するワーキンググループを設置する。

推奨体制:

  • 最高情報セキュリティ責任者(CISO)または経営者
  • 事務局(IT担当・総務)
  • 各部門の代表者(2〜3名)

この段階のアウトプット:

  • 推進体制図
  • スケジュール(通常3〜6か月)
  • 策定の目的・スコープの合意

ステップ2:現状把握とリスクアセスメント(2〜4週間)

ポリシーの内容は、自社のリスク実態に基づいて定める必要がある。抽象的なひな型をそのまま採用すると、実態にそぐわない規程になる。

実施事項:

  1. 情報資産の洗い出し:どんな情報をどこで保管・処理しているかを部門ごとにヒアリング
  2. 脅威の特定:自社に関連性の高い脅威(フィッシング・ランサムウェア・内部不正等)を列挙
  3. 現状のセキュリティ対策の棚卸し:既存のルール・ツールを整理
  4. ギャップ分析:IPA「中小企業の情報セキュリティ対策ガイドライン」や業界基準と比較してギャップを把握

参考フレームワーク:

  • IPA「中小企業の情報セキュリティ対策ガイドライン(第3.1版)」
  • NIST Cybersecurity Framework 2.0
  • ISO/IEC 27001(ISMS認証取得を視野に入れる場合)

ステップ3:ポリシー文書の起草(3〜6週間)

第1層(基本方針)から順に起草する。第1層は経営者の言葉で書き、第2層以降は現場担当者が理解できる平易な表現を使う。

起草のポイント:

  • ひな型・テンプレートを活用しつつ、自社名・組織体制・業種特性に合わせてカスタマイズする
  • 「〜することが望ましい」という努力規定と「〜しなければならない」という義務規定を明確に区別する
  • 技術用語は用語集を添付して誰でも理解できるようにする
  • 対象外となる例外事項も明記する(曖昧にすると現場で判断が揺れる)

ステップ4:レビューと経営承認(1〜3週間)

起草した文書は、関係者によるレビューを経て経営者の承認を取得する。この承認プロセスが省略されると、ポリシーが「担当者が作った参考資料」に格下げされ、組織全体への強制力を持てなくなる。

レビュー手順:

  1. 各部門代表者によるレビュー(業務実態との整合確認)
  2. 法務・コンプライアンス部門のレビュー(法令準拠確認)
  3. 経営会議への上程・承認
  4. 経営者署名・施行日の決定

ステップ5:周知・教育の実施(施行後1か月以内)

策定しただけでは意味がない。全従業員への周知と理解確認が不可欠である。

周知方法:

  • 全社員向け説明会(対面またはオンライン)の開催
  • 社内ポータル・イントラネットへの掲載
  • 理解度確認テストの実施
  • 新入社員教育カリキュラムへの組み込み

配布物:

  • ポリシー全文(PDF)
  • 要約版(A4・1〜2枚程度)
  • よくある質問(FAQ)

ステップ6:定着と継続的改善

施行後は、ルールが実際に守られているかをモニタリングし、形骸化を防ぐ仕組みを整える(詳細は「6. 運用・定期見直しのポイント」を参照)。

5. テンプレート例(主要セクションのサンプル文)

以下は各層の代表的なセクションのサンプル文である。自社の実態・規模・業種に合わせて修正して使用すること。

テンプレートA:情報セキュリティ基本方針(第1層)

` 【情報セキュリティ基本方針】

制定日:XXXX年XX月XX日 最終改定日:XXXX年XX月XX日 バージョン:1.0

  1. 目的

株式会社○○(以下、当社)は、事業活動を通じて取得・保有する情報資産(顧客情報、 取引先情報、従業員情報、技術情報等)を適切に保護することを経営上の重要課題と位置 づけ、この情報セキュリティ基本方針を定める。

  1. 適用範囲

本方針は、当社の全役員・従業員(正社員・契約社員・派遣社員・アルバイト等)、 ならびに当社の情報システムにアクセスする外部委託先・協力会社に適用する。

  1. 基本原則

当社は、情報セキュリティの3要素である「機密性」「完全性」「可用性」の確保を基本 原則とし、以下の方針に基づいて情報資産を保護する。

(1)機密性の確保:情報への不正アクセスを防止し、権限を持つ者のみが情報にアクセス できる体制を維持する。 (2)完全性の確保:情報の正確性・完全性を保護し、不正な改ざん・破壊を防止する。 (3)可用性の確保:必要な情報を必要な時に利用できるよう、障害・災害への備えを行う。

  1. 推進体制

当社は、情報セキュリティ管理責任者を任命し、情報セキュリティ対策を組織的に推進する。

  1. 法令・規制の遵守

当社は、個人情報保護法その他の関連法令・ガイドライン・契約上の義務を遵守する。

  1. 教育・訓練

当社は、全役員・従業員に対して、情報セキュリティに関する定期的な教育・訓練を実施 し、セキュリティ意識の向上を図る。

  1. 継続的改善

当社は、情報セキュリティポリシーおよび対策を、技術・法令・脅威環境の変化に応じて 定期的に見直し、継続的に改善する。

  1. 違反への対応

本方針およびこれに基づく規程・手順に違反した場合は、就業規則に基づく懲戒処分の 対象となる場合がある。

代表取締役 ○○ ○○   (署名・捺印) `

テンプレートB:アクセス管理規程(第2層・抜粋)

` 【アクセス管理規程】

第1条(目的) 本規程は、情報セキュリティ基本方針に基づき、当社の情報システムおよび情報資産への アクセスを適切に管理し、不正アクセスによる情報漏えい・改ざん等を防止することを 目的とする。

第2条(ユーザーアカウントの管理)

  1. システム管理者は、業務上必要な範囲に限りユーザーアカウントを発行する。
  2. 入社・異動時は、所属部門長の申請に基づき、7営業日以内にアカウントを設定する。
  3. 退職・異動時は、最終出社日または異動日までにアクセス権を削除・変更する。
  4. 退職者のアカウントは退職日当日に無効化し、90日後に削除する。

第3条(パスワードの管理)

  1. パスワードは以下の要件を満たさなければならない。

・長さ:12文字以上 ・複雑性:大文字・小文字・数字・記号を組み合わせる ・有効期限:180日(重要システムは90日) ・再利用禁止:過去5世代と同一のパスワードは使用不可

  1. パスワードは他者に開示してはならない。書面による記録も原則禁止とする。
  2. 多要素認証(MFA)が利用可能なシステムには必ずMFAを設定しなければならない。

第4条(特権アカウントの管理)

  1. 管理者権限(ルート・Administratorなど)は、必要最小限の担当者のみに付与する。
  2. 管理者権限での作業は、作業目的・内容・実施者を記録する。
  3. 管理者権限アカウントを通常業務に使用してはならない。

第5条(アクセス権の棚卸し) システム管理者は、年1回以上、全ユーザーのアクセス権を棚卸しし、不要な権限を削除 しなければならない。 `

テンプレートC:インシデント対応規程(第2層・抜粋)

` 【インシデント対応規程】

第1条(目的) 本規程は、情報セキュリティインシデント(以下「インシデント」)が発生した場合に、 迅速かつ適切に対応し、被害を最小限に抑えるための手順を定める。

第2条(インシデントの定義・分類) インシデントとは、情報資産の機密性・完全性・可用性を侵害する、またはその恐れのある 事象をいう。重大度は以下の3段階に分類する。

・レベル1(軽微):個人情報を含まない単純な操作ミス等、業務への影響が限定的な事象 ・レベル2(中程度):個人情報・機密情報が関与する可能性のある事象、または業務に 支障が生じる事象 ・レベル3(重大):情報漏えいが確定または強く疑われる事象、ランサムウェア感染、 基幹システムの停止等

第3条(報告義務) インシデントを発見・疑いを持った者は、直ちに以下の順序で報告しなければならない。

  1. 直属の上司(5分以内)
  2. 情報セキュリティ管理責任者(30分以内)
  3. 経営者(レベル2・3の場合は1時間以内)

第4条(外部への通報) 個人情報の漏えいが確認された場合は、個人情報保護委員会への報告(速報:3〜5日以内、 確報:30日以内)および本人への通知を行わなければならない。 `

テンプレートD:インシデント初動対応チェックリスト(第3層)

` 【インシデント初動対応チェックリスト】 対象:全従業員 確認者:(記入)  発生日時:(記入)  インシデント概要:(記入)

■ 発見直後(0〜30分) □ 1. 上長・情報セキュリティ担当に第一報を入れた □ 2. 感染・侵害が疑われる端末をネットワークから切り離した (LANケーブル抜線またはWi-Fi無効化。電源は切らない) □ 3. 発生状況・確認した事実をメモに記録した(スクリーンショット含む) □ 4. 事象に関係する操作ログ・メール・ファイルを保全した

■ 30分〜2時間 □ 5. 情報セキュリティ管理責任者が重大度(レベル1〜3)を判定した □ 6. 対応チームを招集した □ 7. 社内への暫定連絡(影響範囲・業務への影響)を行った □ 8. 外部専門家(MSSP・セキュリティベンダー)への連絡を検討した

■ 2時間以降 □ 9. 根本原因の特定と封じ込め対応を開始した □ 10. 個人情報漏えいの可能性を確認し、必要な場合は規制当局への報告準備をした □ 11. 復旧手順を実行した(バックアップからの復旧・パスワードリセット等) □ 12. インシデント報告書の作成を開始した `

6. 運用・定期見直しのポイント

ポリシーを策定しても、「お蔵入り」になるケースは少なくない。実効性のある運用のために、以下の仕組みを整える。

6-1. 年次レビューの仕組みを作る

セキュリティポリシーは少なくとも年1回、以下のタイミングを契機に見直しを行う。

見直しのトリガー

対応内容

毎年4月(年度初め)

定期レビュー・改定

重大インシデント発生後

原因分析に基づく対策基準の改定

法令・ガイドライン改正

準拠要件の更新

新技術・新サービス導入時

関連する手順書・規程の追加

組織変更・拠点移転時

体制・適用範囲の更新

6-2. 形骸化を防ぐ日常的な取り組み

定期訓練の実施 標的型メール訓練・インシデント対応訓練を年1〜2回実施し、実際にポリシーが機能するか確認する。訓練を通じて発見されたギャップを手順書にフィードバックする。

セキュリティ教育の継続 年1回以上の全従業員向けセキュリティ教育を義務化する。教育内容は毎年更新し、最新の脅威動向(フィッシング手口の変化・AIを悪用した詐欺等)を盛り込む。

内部監査の実施 ポリシーの遵守状況を確認する内部監査を年1回以上実施する。監査結果は経営者に報告し、改善アクションをPDCAサイクルで回す。

モニタリングとログ管理 アクセスログ・操作ログを一定期間保存し、不審な操作の検知に活用する。ログの保存期間はポリシーで明示する(最低6か月、重要システムは1年以上が目安)。

6-3. 改定管理のルール

ポリシー文書のバージョン管理を徹底する。改定のたびに以下を記録する。

  • バージョン番号(例:v1.0 → v1.1 → v2.0)
  • 改定日・改定者
  • 変更内容の要約
  • 改定の承認者

改定履歴は文書末尾の「改定履歴表」に記載し、古いバージョンはアーカイブとして保管する。

6-4. 委託先・サプライチェーンへの展開

自社のポリシー整備だけでなく、取引先・委託先にも同等水準のセキュリティ対策を求めることが、2026年においては不可欠である。

  • 委託契約書にセキュリティ遵守条項を盛り込む
  • 年1回の委託先セキュリティアンケートを実施する
  • 重要な委託先には現地確認または監査を実施する

7. AEVUSのセキュリティポリシー策定支援

情報セキュリティポリシーの策定は、文書作成だけでなく「自社のリスク実態をどう把握するか」「どのレベルの対策基準を設定するか」という判断が難しい。ひな型をそのままコピーしても、自社の業種・規模・システム構成にフィットしない形骸的な規程になるリスクがある。

AEVUSでは、サイバーセキュリティの専門家として、以下の支援サービスを提供している。

ペネトレーションテスト・脆弱性診断との連携 ポリシー策定前の現状把握フェーズで、実際のシステムに対するペネトレーションテストを実施し、技術的なリスクを可視化する。診断結果に基づいてポリシーの対策基準・実施手順を策定することで、「実態に即した」規程が完成する。

ペネトレーションテスト・脆弱性診断について詳しくはAEVUSのペネトレーションテストサービスを参照されたい。

対象となる企業の例:

  • ISMS認証(ISO 27001)取得を検討しており、まずポリシー整備から始めたい
  • 取引先からセキュリティポリシーの提出を求められた
  • 既存のポリシーが古く、現状の技術環境・法令に対応できていない
  • インシデント対応規程がなく、発生時の対応が属人的になっている

セキュリティポリシーの策定支援・現状評価についてのご相談は、AEVUSまでお問い合わせください。

まとめ

情報セキュリティポリシーの策定に取り組む際の要点を整理する。

項目

ポイント

構造

基本方針(第1層)・対策基準(第2層)・実施手順(第3層)の3層で構成する

策定手順

体制構築→現状把握→起草→経営承認→周知→継続改善の流れで進める

必須要素

経営者の署名、適用範囲の明確化、インシデント対応規程は必ず盛り込む

運用

年1回以上の見直し・定期訓練・内部監査をセットで実施する

実効性

現場の実態に即した内容にし、全従業員が参照できる形で周知する

セキュリティポリシーは策定することが目的ではなく、組織全体のセキュリティ水準を底上げし、インシデントを未然に防ぐための土台である。本記事で紹介したテンプレートとチェックリストを出発点に、自社の実態に合わせた規程体系を整備してほしい。

関連記事

← ブログ一覧に戻る

関連記事

「業界動向」の記事をもっと見る →

セキュリティのご相談はAEVUSへ

ブログの内容についてのご質問・セキュリティ診断のご相談はお気軽にどうぞ。

無料相談・お問い合わせ