「情報セキュリティポリシーを作らないといけないのはわかっているけど、何から手をつければいいのかわからない」。中小企業の経営者や総務担当者から、こうした声をよく耳にします。
実際、IPA(独立行政法人 情報処理推進機構)の調査によると、従業員100名以下の企業で情報セキュリティポリシーを策定済みなのは約3割にとどまります。大企業に比べて対策が遅れているのが現状です。
この記事では、従業員10〜100名規模の中小企業が情報セキュリティポリシーを策定する方法を、ひな形の活用から社内への定着まで、ステップバイステップで解説します。
情報セキュリティポリシーとは?経営者が押さえるべきポイント
情報セキュリティポリシーとは、会社の情報資産をどのように守るかを定めたルールブックです。「パスワードは何文字以上にする」「USBメモリの持ち出しはこう管理する」といった具体的なルールから、「万が一情報漏えいが起きたらどう動くか」という緊急時の手順まで含みます。
「そんな大げさなものが本当に必要なのか」と思われるかもしれません。しかし、取引先から「御社のセキュリティポリシーを見せてほしい」と求められるケースは年々増えています。特にDXを推進してクラウドサービスやオンライン取引を導入するほど、セキュリティの仕組みを整える必要性は高まります。
情報セキュリティポリシーは一般的に3つの階層で構成されます。
・基本方針: 会社として情報セキュリティにどう取り組むかの宣言。経営者が承認し、全社員に周知します。A4用紙1枚程度で十分です。
・対策基準: 基本方針を実現するための具体的なルール。パスワードの管理方法、データのバックアップ頻度、持ち出し機器の取り扱いなどを定めます。
・実施手順: 対策基準を現場で実行するための手順書。「毎月第1月曜にバックアップを確認する」「退職者のアカウントは当日中に停止する」など、誰がいつ何をするかを明確にします。
策定するメリット — 数字で見る効果
「ルールを作るだけでは意味がないのでは」という声もありますが、ポリシーを策定して運用するだけで、実務上の効果は大きく表れます。
| 項目 | 策定前 | 策定後 |
|---|---|---|
| セキュリティ事故対応時間 | 初動まで平均48時間 | 初動まで平均4時間 |
| 取引先からの信頼 | 審査で不合格リスク | 取引条件をクリア |
| 従業員のセキュリティ意識 | 個人の判断任せ | ルールに基づき統一対応 |
| インシデント発生率 | 年間3〜5件(ヒヤリハット含む) | 年間0〜1件に減少 |
ある建設会社(従業員35名)では、セキュリティポリシー策定後に取引先の情報セキュリティ審査を通過し、大手ゼネコンとの新規取引を獲得できました。ポリシーがなければ審査の土俵にすら上がれなかったケースです。
具体的な策定手順 — 5つのステップ
1. 自社の情報資産を洗い出す
最初にやるべきことは、「うちの会社にはどんな情報があるか」を把握することです。顧客情報、見積書、契約書、従業員の個人情報、製品の設計データなど、守るべき情報をリストアップします。
この段階では完璧を目指す必要はありません。各部署の責任者に「業務で使っている重要なデータは何ですか」とヒアリングすれば、1〜2週間で全体像が見えてきます。
2. リスクを評価する
洗い出した情報資産に対して、「漏えいしたらどうなるか」「改ざんされたらどうなるか」「使えなくなったらどうなるか」の3つの視点でリスクを評価します。
すべての情報を同じレベルで守ろうとすると、コストも手間もかかりすぎます。「顧客の個人情報」は最重要、「社内の回覧資料」は低リスクといった具合に、重要度に応じて3段階程度に分類するのが実用的です。
3. ひな形をもとにポリシーを作成する
ゼロから作る必要はありません。IPAが無料で公開している「中小企業の情報セキュリティ対策ガイドライン」に付属のひな形を使えば、自社の状況に合わせて項目を埋めていくだけで策定できます。
ひな形でカバーすべき主な項目は次のとおりです。
・パスワード管理: 最低12文字以上、英数字記号を含む。同じパスワードの使い回し禁止。
・アクセス権限: 業務に必要な範囲のみアクセスを許可。退職者のアカウントは当日中に無効化。
・データバックアップ: 重要データは週1回以上バックアップ。バックアップの復元テストを年2回実施。
・持ち出し機器の管理: ノートPCやUSBメモリの持ち出しは上長承認制。紛失時の報告手順を明記。
・インシデント対応: 情報漏えいやウイルス感染が発覚した場合の連絡先と初動手順を定義。
4. 経営者が承認し全社に周知する
作成したポリシーは、必ず経営者の名前で承認・発行します。「社長が本気で取り組んでいる」と伝わるかどうかで、社内の受け止め方は大きく変わります。
周知の方法は、全体朝礼やメールでの通知に加えて、社内の共有フォルダに常時アクセスできる形で掲示するのが効果的です。紙で配って終わりにすると、引き出しの奥に埋もれてしまいます。
5. 定期的に見直す
情報セキュリティの脅威は日々変化します。策定したポリシーは年1回、最低でも以下のタイミングで見直しましょう。
・新しいクラウドサービスやツールを導入したとき
・セキュリティ事故(ヒヤリハットを含む)が発生したとき
・取引先から新たなセキュリティ要件を求められたとき
・法令や制度の改正があったとき
かかるコストと使える補助金
【コスト】自社で策定する場合
IPAのひな形を活用して自社で策定する場合、外部費用はほぼゼロです。担当者の作業時間として40〜80時間程度を見込んでおけば、3か月以内に策定できます。
外部コンサルタントに支援を依頼する場合は、30万〜100万円程度が相場です。自社の業種に合ったリスク評価や、取引先の審査対応まで含めたい場合は、専門家の支援が効果的です。
| 方法 | 費用 | 期間 | 向いている企業 |
|---|---|---|---|
| 自社で策定(ひな形活用) | 実質0円(人件費のみ) | 2〜3か月 | IT担当者がいる企業 |
| 外部コンサルタント支援 | 30万〜100万円(税込) | 1〜2か月 | 短期間で整備したい企業 |
| ISMS認証取得まで | 100万〜300万円(税込) | 6か月〜1年 | 大手取引先の要件対応 |
※費用は執筆時点(2026年3月)の目安です。
【補助金】活用できる制度
・IT導入補助金(2026年度): セキュリティ対策推進枠として、サイバーセキュリティお助け隊サービスの導入費用を最大100万円まで補助。ポリシー策定に直接使えるわけではありませんが、セキュリティツール導入とあわせて活用できます。
・サイバーセキュリティ対策促進助成金(東京都中小企業振興公社): 都内中小企業を対象に、セキュリティ対策にかかる費用の一部を助成する制度です。ファイアウォールやウイルス対策ソフトの導入費用が対象になります。
※補助金は年度や公募回によって条件が変わります。申請前に必ず最新の公募要領を確認してください。
よくある失敗と回避策
失敗1: 完璧なポリシーを目指して策定が進まない
大企業のポリシーを参考にして、自社には不要な項目まで盛り込もうとするケースです。従業員30名の会社に「サーバールームの入退室管理」のような項目は不要な場合がほとんどです。
回避策は、まず最低限の項目だけで第1版を作り、運用しながら改善していくことです。最初の完成度は60点で十分です。
失敗2: 作っただけで周知・教育をしない
ポリシーを策定したものの、共有フォルダの奥に置いたきりで誰も読んでいないというケースは非常に多いです。
回避策は、年2回の社内勉強会(30分程度で十分)を実施し、実際に起きたセキュリティ事故の事例を使って「自分ごと化」してもらうことです。
失敗3: ルールが厳しすぎて業務が回らなくなる
「USBメモリ全面禁止」「個人スマホの社内持ち込み禁止」など、極端なルールを設定すると、社員が抜け道を探してかえってリスクが高まります。
回避策は、禁止ルールには必ず代替手段をセットで用意することです。USBメモリを禁止するなら、クラウドストレージによるファイル共有の仕組みを同時に整えます。
なお、DX推進にともなうクラウドサービスのセキュリティ設定については、姉妹サイトセキュリティマスターズ.TOKYOで中小企業向けの対策を詳しく解説しています。
本記事のまとめ
情報セキュリティポリシーは、中小企業にとって「あったほうがいいもの」から「なければ取引できないもの」へと位置づけが変わりつつあります。
策定のポイントは3つです。IPAのひな形を活用してまず第1版を作ること、経営者の名前で発行して全社に周知すること、そして年1回は見直して最新の状況に合わせること。
完璧を目指す必要はありません。「うちの会社のセキュリティルールはこれです」と取引先に示せる状態を、まず3か月以内に作ることを目標にしてみてください。
DX推進とセキュリティ対策を両立させたいですか?
クラウドサービスの導入やペーパーレス化を進めるほど、情報セキュリティの仕組みづくりは避けて通れません。
中小企業のDXを身近な業務改善から始めたい方へ、メルマガで実践的なDX推進ノウハウをお届けしています。
コメント