情報セキュリティ関連規程の作り方（377号）

先日、とあるイベントでセキュリティ対策の相談員として皆さんの悩みをお聞きする機会がありました。

その中で、多くの方が困っておられたのが、情報セキュリティ関連規程の作成でした。

今回は、そこでお聞きしたことも含め、情報セキュリティ関連規程の作り方について筆者の考えをお話しします。

情報セキュリティ関連規程

何もないところから情報セキュリティの関連規程を作るとなると、これは大変な作業になります。

今から規程を作ろうか、と言う組織なのですから規程に盛り込むべき内容もわかろうはずがありません。

となると、何らかのサンプルを探そうとしますよね。
ここでヒットするのはこのメルマガでも何度も登場しているIPA（独立行政法人 情報処理推進機構）が提供している「情報セキュリティ関連規程（サンプル）」という文書です。
　中小企業の情報セキュリティ対策ガイドライン
　付録5：情報セキュリティ関連規程（サンプル）
　https://www.ipa.go.jp/security/sme/ps6vr7000001bu8m-att/000055794.docx

これ、とても良くデキた文書だと思うのですが、筆者に言わせると「がんばりすぎ」です。このサンプル40ページ以上あるんですよ。

個々に見ると、どれも必要な内容なんですが、これから取り組みを始めようという組織がこの全部を取り込むには量が多すぎます。ハッキリ言って無謀です。

例えば、会社で決めないといけない文書の代表格に、就業規則というのがあります。

多くの社労士（社会保険労務士：社内ルール作りや労務手続きの専門家）さんがサンプルを提供されていますが、短かいもの5ページ、長くても20ページ以下です。

セキュリティ関連規程と就業規則を比べるのは無茶ですが、それでも40ページという分量はちょっと多すぎるように感じます。

ページ数が多いということは細かいことまで記述されているということですから、このサンプルをベースに規程を作ると、かなり細かい規程となることを意味します。

細かい点まで規程できているのは良さそうに思えますが、どうでしょうか？
この点について、筆者はデメリットの方が大きいと感じます。

良いルール＝納得できるルール

IPAの情報セキュリティ関連規程（サンプル）はとても良い規程だと思います。
ただし、この良さを活かせるのは、既に自社で作った規程がある場合です。

このケースでは、このサンプル規程は非常に役に立つことと思います。

ですが、初めてセキュリティ規程を作ろうという組織がこの規程を踏襲して規程を作るとデメリットが大きいと筆者は考えます。

このサンプルはいわば「いいとこどり（ベストプラクティス）」です。
情報セキュリティ関連規程の運用実績がある組織ならば、これを見て「そうか。この規程も必要なんだな」と膝を打つことも多いはずです。

組織としての知識レベル、理解レベルは実運用を回さないとそうそう上がりません。

ルールを運用するのはヒトです。運用メンバが理解でき納得できるルールでの運用を始めることが大切です。

理解できないルールや納得できないルールは、なかなか守ろうという気になれません。
ですが、大切さを理解でき面倒さにも納得できれば、むしろ積極的に守ろうとします。

例えば、工場で様々なルールがあります。
溶接する時には必ず保護用のゴーグルを付けろ、重量物を移動させる時は必ず台車に乗せろ、といったものです。

こういったルールは実によく守られます。
なぜなら、守らないことで、大ケガや事故が起きることを社員教育や先輩からの指導で知っているからです。

自分達を守るために必要なルールだと納得できれば、多少面倒だって守りますよね。

ルールというのは「守るべきだ」「守っていきたい」と思ってもらってナンボです。

良いルールには自主的に守りたい、守る方がトクだ、と思える要素が必ずあります。
守ってもらえるルールは納得度が高いルールとも言えます。

厳しいルール、細かいルールが必ずしも良いルールになるわけではありません。

守ることによるメリットをいかにわかりやすく示すかが、規程策定担当者の腕の見せどころですし、そういった規程こそが守られる、守ろうと思える規程なのです。

最初のセキュリティ規程は最少限に！

こう考えると、冒頭に書いた40ページ超をいきなり全て運用することの難しさがわかります。

そもそも40ページ超の内容を全員に理解させ、納得してもらうことが大変です。

それを日常業務の中で意識させるとなると、さらに大変です。
しかも忘れないように、記憶を定着させるコトも必要です。

これを最初から全てこなそう、と考えるのはさすがにムリがあります。

我々のような凡人は一度に覚えらる量に限度があります。
情報セキュリティ対策のように、苦手意識の強い方が多い分野は特にそうです。

となれば、納得してもらうためにも、ルールは最少限にしなくてはなりません。

と書いておきながら何ですが、これはめちゃくちゃ難しいのですよ。

というのは、情報セキュリティ関連規程（サンプル）に書かれていることはどれもこれも大切なことで、削れそうにない内容ばかりです。

いくらメンバに浸透させるためとはいえ、その貴重な内容を削り落とすことには本末転倒じゃないか？と言われると、なかなか反論しづらいのですね。

それでも納得度の低い規程なんて決めるだけ無駄です。
だって、納得度の低い規程はいずれ守られなくなり、形該化しちゃいますから。

そんな筆者のオススメは最初のバージョン、即ち第1版のページ数を先に決めちゃうことです。
全部で15ページにする、20ページにすると決めるのです。
その根拠は「確実な定着のためには、ポイントを可能な限り絞るべきだから」です。

その入れ物に入るだけの内容を現状の自社の状況に合わせてチョイスするのです。

40ページの内容を15ページに収めようとすれば、一部の章はまるごとなくなります。

それでいいのか？！となりそうですが、最初はそれでいいのです。

拡充はバージョン２以降で

そう、「最初は」です。

情報セキュリティ規程というのは、必ず改訂が必要です。
例えば5年前に比べてランサムウェアの被害は2024年現在の方がはるかに広がっています。
また、USBメモリの紛失事故やパソコンの盗難などに対応してセキュリティ対策の手順を変更しなければならないケースも発生します。

セキュリティ規程は対策方法の変化、攻撃方法の変化に追いつかねばなりません。

だから、セキュリティ規定は改訂が必要なのです。
最初は「何がなんでも理解し守って欲しい最低限のルール」に絞っておき、定着するに従ってその範囲を増やしていくことが有効な対策なのです。

PDSサイクル（計画、実施、見直しを繰り返す改善方法）ってやつですね。

初版では15ページだったセキュリティ規程が数年後には20ページになり、いずれはIPAの全章が含まれるまでに改版できれば、本当に素晴らしいことです。

え？そんなユルユルでいいの？

この話をすると決まって聞かれるのが「そんなユルい運用で大丈夫なのか？」という質問です。

有体に言って大丈夫じゃありません。

ですが、考えてみてください。
今まで運動をしていなかった人に「肥満だからトレーニングせよ」と言って激しい運動をさせたって体が付いていきません。激しい運動でケガなんてしては本末転倒もいいところです。
だから、最初は軽い運動で体を慣れさせて、除々に負荷を高めますよね。

セキュリティ対策だって同様です。

今まで何もルールがなかったことに比べれば、規程を作っただけで大きな進歩です。
既に最初の一歩を踏み出したのですよ。
まだ至らない部分にばかり目を向けず、踏み出した事実に目を向けるべきなのです。

何だって、全てを一気に成し遂げることはできないのです。
「ローマは一日にしてならず」ですよね。

現場を無視した規程は定着しない

最後に「現場とたくさん会話をしてください」ということをお伝えしておきます。

現場をよく見て、現場のキーマンとも密に打合せを重ねてください。
それを踏まえて、現場が受け入れやすい規程となるように十分に配慮をしてください。
だって、規程を守り実践するのは現場だからです。

現場が「そんなのできるわけないだろ」と公には言わなくても思われている規程ってありますよね？
そういった規程は守られているでしょうか？
表面上は守ったように見えたとしても、規程の目的を満たさないように骨抜きされ、形該化していないでしょうか？

情報セキュリティ規程というのは、組織の持つ情報を安全に運用するためのルールです。
これが形該化すると情報の安全性に直結します。

それでも、情報セキュリティ規定はIT機器の規定でしょ？と言う方がおられます。
確かにIT機器は情報を大量に保持していますから、情報セキュリティ規程の主要な対象となるのは事実です。

ですが、情報セキュリティ規程を実践するのはヒトです。IT機器ではありません。
現場が受け入れてもらえる規程、言い替えれば現場に負担を押し付けない規程となるように、最大限の考慮が必要なのです。

これは、上で書いた「納得できるルール」と直結しています。
経営視点でどうしても現場に負担を強いるしかないシーンも確かにあります。
だからこそ、現場の負担が最少限となるように、現場の運用をよく見ることが要るのです。現場のキーマンとの密な会話が必要となるのです。

現場の共感を得られないような規程はいずれ形該化します。
このことを肝に銘じていただきたいと思います。

まとめ

情報セキュリティ関連規程というものがあります。

就業規則会社の基本ルールを従業員に伝えるための文書です。
それと同様に、情報セキュリティ関連規程は情報の取り扱い方法を定めた基本ルールです。

ところが、この規程を作る時のサジ加減がものすごく難しいのです。
基本ルールですから、できるだけシンプルに作ることが望ましいのですが、昨今のトラブルやサイバー攻撃といった災難から身を守るために、決めておかないといけないことがたくさんあります。

だからといって、それをこと細かに決めすぎると、扱う人の方がオーバフローしてしまい、結局定着しないということになりかねません。

なので、最初は本当に最低限にまで規程内容を絞り込み、定着してきたころに改版をしてさらに規程を拡充するという繰り返し（PDSサイクル）が必要となります。

この規程を作るにあたっては、実際に運用を担う人々が苦しくならないように最大限の工夫が必要になります。

これをおそろかにして、盛大な大失敗をした事例があります。
2015年の日本年金機構での情報漏洩事件です。

この事件の大きな要因は厳しすぎるルールとその形該化でした。

現場の運用が回らないような厳しいルールを定め、現場は業務を効率良く回すために、ルールを無視して杜撰な運用をした結果、120万件を越えるデータ流出をしてしまったのです。
この事故は、ルール策定と運用の難しさを如実に示す実例です。

このような事故をひき起こさないためにも、現場とのコミュニケーションを大切にして、無理のない効果的な運用ルールを目指してください。

今回は、情報セキュリティ関連規程の作成について、筆者の考えをお伝えしました。
次回もお楽しみに。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
筆者（ t.shimizu@egao-it.com ) にメールをお送りいただいてもOKです。