ITパスポート 令和3年度 問96：セキュリティマネジメントに関する問題

答えは d です。

情報セキュリティ方針は「うちの会社では情報をこう守ります」という会社のルールの土台です。

ここで大事なのは、よその会社の真似をそのまま使ってもダメということ。会社ごとに「何の仕事をしているか」「どんな大事な情報を持っているか」は違うので、自分の会社に合わせて作るのが正解です。

👉 覚え方：方針は“自社オーダーメイド”。

ほかの選択肢：a 状況が変われば見直して当然（変えてはダメは×）／b 理想像より“現実に守る具体策”が大事／c むしろ社内に周知し、必要なら公開もする（隠して終わりは×）。

なぜこれが正解か

正解は d。情報セキュリティ方針（ポリシー）は、自社の事業内容・組織特性・保有する情報資産の特徴を踏まえて策定するもの。会社ごとにリスクは異なるため、他社の雛形の流用ではなく自社に最適化することが基本。

各選択肢の解説

• a：誤り。環境変化やインシデントに応じて定期的に見直し・改訂するのが原則。固定してはいけない。
• b：誤り。理想像の掲示ではなく、守るべき方針・基準を具体的に定めるもの。
• c：誤り。方針は従業員へ周知してこそ機能する。基本方針は対外的に公開する企業も多い（顧客・取引先への信頼表明）。

覚え方・ひっかけ注意

方針は「自社の実態に合わせて作り、周知し、見直す」。「変更禁止」「非公開で厳重管理」「理想像」という語が出たら誤りを疑う。PDCAで継続的に改善する対象である点を押さえる。

理論的背景

情報セキュリティポリシーはISMS（Information Security Management System）の根幹文書であり、ISO/IEC 27001（JIS Q 27001）第5.2条「方針」において最高管理層（トップマネジメント）が制定・承認する義務がある。規格では方針に含むべき内容として「情報セキュリティの目的の設定または設定のための枠組み」「適用可能な法的・規制的要求事項への適合」「継続的改善へのコミットメント」を明示している。

情報セキュリティポリシーの階層構造は以下の3層で設計されるのが標準的である。

1. 基本方針（ポリシー）：経営層のコミットメントと組織全体の方向性を示す宣言的文書。「何を・なぜ守るか」の宣言。対外的な信頼表明のために公開されることが多い（Webサイトへの掲載等）。

2. 対策基準（スタンダード）：各種リスクに対して守るべき具体的ルール・技術基準。「どのレベルで守るか」を定める。

3. 実施手順（プロシージャ）：現場担当者が実際に操作・運用する手順書・チェックリスト。「どうやって守るか」を記載する。

本問の正解dが求める「自社の事業内容・組織の特性・情報資産の特徴を考慮」という要件は、ISO/IEC 27001の文脈における「組織の状況（4条）」の把握と対応する。規格では組織の内部・外部の課題を特定し、利害関係者のニーズを把握した上で方針を策定することを要求している。

実務での使われ方

ISMS認証（ISO/IEC 27001）の審査では、方針文書の内容と実際の運用の一貫性が確認される。審査員は「方針が経営トップの署名付きで承認されているか」「定期的な見直し（マネジメントレビュー）の記録があるか」「全従業員への周知方法（入社時研修・イントラ掲載・掲示等）が機能しているか」を確認する。

実際の企業では方針文書が形骸化するケース（aの誤り：変更禁止・固定化）や、経営トップが署名だけして現場に任せきりになるケースが指摘される。プライバシーマーク（JIS Q 15001）でも同様に、個人情報保護方針の継続的改善と経営者関与が審査対象となる。

近年ではサプライチェーン上の委託先・協力会社の情報セキュリティ対応を確認するため、取引先に対して「情報セキュリティ方針を提示・共有すること」が要件化される事例が増えており、方針の対外公開（cの誤り：「社外非公開で厳重管理」）が一概に正しいわけではないことの実例となっている。

試験での位置づけ

ITパスポートのセキュリティマネジメント分野で最頻出テーマの一つ。正答パターンとして「誤答の見分け方」を整理すると効果的である。誤答には共通の特徴として断定的・極端な制限表現が使われる。「変更してはいけない（a）」「社外に非公開として厳重管理（c）」という語調はISOマネジメントシステムの「継続的改善」「ステークホルダーへの開示」という基本思想と相反するため即座に除外できる。「理想像を掲げる（b）」は方針の本質（具体的なコミットメント・基準）と乖離している。

上位資格では、方針とリスクアセスメント結果の連携、適用宣言書（SoA）作成プロセス、マネジメントレビューの投入情報・産出情報（ISO/IEC 27001第9.3条）まで踏み込んだ問題が出題される。

選択肢の発展補足

選択肢a（一度定めた内容は変更してはいけない）：情報セキュリティの環境は常に変化する（新たな脅威の出現・法改正・組織変更・インシデント発生）ため、PDCAサイクルによる定期的な見直しが必須。ISO/IEC 27001は「継続的改善（10条）」を明示的な要求事項として定めており、固定化は規格不適合となる。事実、多くのISMS認証取得企業は年次のマネジメントレビューで方針の改訂を検討する。

選択肢b（理想像を記載し近づくための活動を促す）：情報セキュリティ方針は「あるべき姿の夢想」ではなく、「守るべき具体的なコミットメントと枠組み」を定める文書である。漠然とした理想像の掲示は監査で「方針の実効性が不明」として不適合指摘を受ける。具体的なリスク低減目標、適用範囲、責任の所在が明示されている必要がある。

選択肢c（社外に非公開として厳重管理）：基本方針（上位層）は通常、取引先・顧客・社会に対する信頼表明として積極的に公開する。「非公開」が適切なのは詳細なシステム構成・脆弱性情報を含む下位の実施手順書（プロシージャ）である。方針の公開と詳細手順の非公開という使い分けを理解することが重要。JPCERT/CCもセキュリティポリシーの対外公開を推奨している。