平成27年度 秋期 ITパスポート試験 公開問題 問62 解説 ISMS情報セキュリティ方針

この問題の正解はアです。「組織のルール（方針）は、その組織の責任者であるトップマネジメントが自ら定め、意志を示す必要がある」というISMSの原則を押さえておけば、迷わず正解を選べます。他の選択肢はすべてISMSの考え方に反する誤りです。

なぜトップマネジメントなのか

情報セキュリティマネジメントシステム（ISMS）において、情報セキュリティ方針は組織の最も重要な意思表明です。方針には「なぜ組織としてセキュリティに取り組むのか」「どのような姿勢で情報を守るのか」といった根幹が記されます。

これを現場の担当者や特定の部署だけで勝手に決めてしまうと、経営資源（人・モノ・金）を投入する正当性が弱まり、組織全体での徹底が難しくなります。トップマネジメントが自ら確立し承認することで、組織全体に対して「これは経営上の最重要課題である」という強いメッセージとなり、全社的な取り組みとしての責任を明確にできます。

誤った選択肢の考え方

イ：情報セキュリティ方針は、組織のセキュリティに対する姿勢を対外的に示すものです。取引先や顧客に対して「私たちはこのような基準で情報を守っています」と宣言することは、信頼構築のために重要であるため、社外への公表は推奨されます。

ウ：ビジネス環境や技術は常に変化します。一度作ったルールを固定化すると、新しい脅威や業務形態に対応できず、かえってセキュリティリスクを高めることになります。そのため、状況変化に応じて見直しや改善を繰り返す継続的改善（PDCAサイクル）が必須です。

エ：情報セキュリティ方針は、組織に所属するすべての者（正社員だけでなく、アルバイト、派遣社員、委託先なども含む）が守るべきルールです。個人情報を扱わない部署であっても、その組織の一員である以上、基本的なセキュリティ意識の共有や方針の順守が求められます。

実務での活用

ITパスポートでこの知識を問う意図は、セキュリティが単なるIT技術の問題ではなく、経営戦略の一部であることを理解させる点にあります。

実務においては、入社時のセキュリティ研修などで「情報セキュリティ方針」を読み合わせる機会があるはずです。その際、この問題の教訓を思い出してください。「これは単なる事務的な手続きではなく、経営層が私たちの情報資産を守るために定めた方針である」と認識できれば、規程を自分事として捉える姿勢が育ちます。セキュリティ事故の多くはヒューマンエラーに起因するため、こうした組織の一体感こそが最大の防御策となります。

参考リンク

• 【ITパスポート】情報セキュリティ方針とは？覚え方と過去問対策
• Zenn：組織のセキュリティ方針をどうやって策定・運用するか考えてみた
• JIS Q 27001:2023 情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項（日本産業標準調査会）