平成28年度 春期 ITパスポート試験 問73 解説 情報セキュリティ方針の周知

正解の判断根拠

情報セキュリティ方針は、組織のセキュリティに対する「憲法」のような最上位の規定です。この方針は、組織に関わるすべての人が守るべきルールであるため、周知対象も組織の内部・外部を問わず、関係するすべての人が対象となります。したがって、一部の部署や役職者に限定せず、すべての従業員及び関連する外部関係者に周知する必要があります。

情報セキュリティ方針とは何か

情報セキュリティ方針（情報セキュリティ基本方針）とは、組織が情報資産を守るために、「どのような姿勢で取り組むか」を経営陣が宣言する文書です。

この方針には、情報セキュリティの目的や達成基準、法令遵守の姿勢などが記載されます。そのため、経営陣だけが知っていればよいものではなく、また特定のセキュリティ担当者だけの仕事でもありません。この方針に基づき、各現場で具体的なマニュアルやルールが作られるため、組織に属するすべての人が内容を理解し、行動に反映させることが求められます。

なぜ外部関係者まで対象なのか

現代のビジネスでは、クラウドサービスを利用したり、システムの運用を外部ベンダーに委託したりすることが一般的です。自社のセキュリティレベルを維持するためには、自社の従業員がルールを守るだけでなく、自社システムにアクセスする委託先の社員や協力会社に対しても、自社の方針を理解してもらう必要があります。

もし、外部関係者に方針が周知されておらず、結果として委託先から情報漏洩が発生すれば、責任は「情報セキュリティマネジメントシステム（ISMS）」を構築している組織自身に問われます。そのため、契約や協定を通じて、関連する外部関係者に対しても方針を周知し、遵守を求めることが不可欠です。

試験でのポイントと実務への適用

ITパスポート試験では、「セキュリティは組織全体で取り組むもの」という考え方が頻出します。特定の誰か（セキュリティ管理者など）に責任を押し付けるような選択肢は、多くの場合誤りとなります。

実務においては、方針を策定するだけでなく、その「浸透」が重要視されます。方針を改訂した際に、メールで一斉送信するだけでなく、研修会を実施したり、ポータルサイトに掲載したりして、従業員が確実に認知できる環境を作ることが、ISMSの運用改善（PDCAサイクル）の重要な一部となります。

参考リンク

• 【情報セキュリティ】情報セキュリティ方針とは？策定の目的や構成要素を解説
• 【実例】ISMS認証を取得してみた話：セキュリティ意識向上のために全社員が取り組んだこと
• 情報セキュリティマネジメントシステム（ISMS）の概要 - JIPDEC