お問い合わせ
0120-855-995
LINEで相談情報セキュリティ社内規程の書き方とは?策定手順と必須項目を解説
2025年12月12日
「取引先からセキュリティ規程の提出を求められた」
「Pマーク(プライバシーマーク)やISMS取得のために規程が必要になった」
「テレワークが増え、今のルールでは不安を感じている」
企業を取り巻く環境の変化に伴い、「情報セキュリティ社内規程」の策定や見直しは、重要な経営課題の一つとなっています。
しかし、いざ作成しようとすると「どこまで厳しく書くべきか」「どんな項目が必要なのか」と迷ってしまう担当者も少なくありません。
本記事では、ゼロから規程を作る担当者の方に向けて、情報セキュリティ社内規程の基本的な書き方、盛り込むべき必須項目、そして形骸化させないための運用ポイントを分かりやすく解説します。
情報セキュリティ社内規程とは?(3階層の構造)
セキュリティ規程を作成する際、すべてのルールを1つの文書に詰め込んでしまうと、分量が多すぎて読みづらくなり、結果として活用されないおそれがあります。
一般的に、情報セキュリティのルールは以下の3階層(ピラミッド構造)で整理するのが基本です。
階層 | 名称 | 内容と役割 | 対象読者 |
第1階層 | 基本方針(ポリシー) | 「当社はセキュリティにこう取り組む」という宣言。経営者の意思表明であり、社外(顧客やパートナー)へ公開することも多い。 | 全社員・社外 |
第2階層 | 対策基準(スタンダード) | 「何をしなければならないか」という具体的なルール。本記事で解説する「社内規程」は主にここを指す。 | 全社員 |
第3階層 | 実施手順(プロシージャ) | 「どのように操作するか」というマニュアル。OSの設定手順やツールの操作方法など、技術的な詳細。 | 実務担当者 |
書き方のポイント
今回作成する「社内規程」は第2階層にあたります。ここには「Windows 11の設定画面を開き…」といった細かい操作手順は記載せず、「OSは常に最新の状態に保たなければならない」といった遵守事項(ルール)を記載します。
情報セキュリティ社内規程の書き方:5つのステップ
いきなり条文を書き始めると、抜け漏れや矛盾が生じやすくなります。
以下の5ステップで進めることで、整理された規程を作成しやすくなります。
現状把握とリスクの洗い出し
まずは自社にどのような「守るべき情報」があるかを整理します。
- 顧客情報(氏名、住所、クレジットカード情報など)
- 社員情報(マイナンバー、給与口座など)
- 技術情報(未公開の設計図、独自のノウハウなど)
これらが現在どのように取り扱われているかを確認し、例えば「USBメモリでの持ち出し」「カフェでの作業」など、どのようなリスクがあるかを洗い出します。
適用範囲の決定
「誰に守らせるか」を明確にします。
正社員だけでなく、契約社員、派遣社員、アルバイト、場合によっては業務委託先も含める必要があります。
セキュリティ上の弱点は、管理が行き届いていないところから狙われやすいため、「当社の情報システムを利用するすべての従業者」を対象とするのが一般的です。
構成案(目次)の作成
IPA(独立行政法人情報処理推進機構)が公開している「中小企業の情報セキュリティ対策ガイドライン」などのひな形を参考に、目次(章立て)を作成します。
ドラフト作成(条文化)
各項目について具体的なルールを文章に落とし込みます。この際、用語の選び方が重要です。
良い例
「〜しなければならない」「〜してはならない」(義務・禁止が明確)
望ましくない例
「〜するよう努める」「〜が望ましい」(個人の判断に委ねられ、強制力が弱くなる)
レビューと承認
草案ができたら、現場のリーダーに確認してもらい、「業務実態とかけ離れていないか」をチェックします。
その後、法務担当による確認を経て、最終的に経営層(取締役会など)の承認を得て施行します。
規程に盛り込むべき「必須項目」チェックリスト
「社内規程 セキュリティ 書き方」で検索される方が特に悩みがちな点が、「具体的に何を書けばよいのか」という部分です。
少なくとも、以下の3つの観点は押さえておく必要があります。
人的セキュリティ(人に関するルール)
守秘義務
在職中だけでなく、退職後も守秘義務が継続することを明記
教育・訓練
「年に1回以上のセキュリティ教育を受講すること」を義務付け
報告・連絡
ウイルス感染の疑いやPC紛失時に、誰に・いつ報告するか(直ちに報告する義務)を定める
物理的セキュリティ(場所・物に関するルール)
入退室管理
サーバー室や執務室への部外者の立ち入り制限、入館証の着用義務
クリアデスク・クリアスクリーン
離席時はPCをロックする(Win+Lキー)、机の上に重要書類を放置しない
機器の管理
ノートPCやUSBメモリの持ち出しには上長の許可を必要とすること
技術的セキュリティ(ITシステムに関するルール)
アクセス制御
ID・パスワードの貸し借り禁止、推測されにくいパスワードの設定(例:英数字・記号を含む10桁以上など)
ネットワーク利用
業務に関係のないWebサイト閲覧の制限、不審なメールの添付ファイル開封の禁止
ソフトウェア管理
会社が許可していないソフトのインストール禁止(いわゆるシャドーIT対策)
現代のセキュリティ規程に欠かせない「3つの新・必須項目」
10年前のテンプレートをそのまま流用するのは、現在の働き方には合わない場合があります。
クラウドやテレワークが一般的になった今、以下の項目が盛り込まれていない規程は、十分な対策になっていない可能性があります。
テレワーク(在宅勤務)規定
オフィス外で働く際のルールです。
- 自宅Wi-Fiの暗号化方式(WPA2/WPA3以上)の指定
- カフェやコワーキングスペースなど、第三者がいる場所での覗き見防止(プライバシーフィルターの使用など)
- Web会議中の背景への映り込みや、音声による情報漏えいへの対策
クラウドサービス・SNS利用規定
データの持ち出しや不用意な情報発信を防ぐためのルールです。
オンラインストレージ
業務データを個人のGoogleドライブやDropbox等へアップロードすることの禁止
SNS利用
業務で知り得た情報や、社内の様子が分かる写真を個人のSNSへ投稿することの禁止(いわゆる炎上リスクへの対策を含む)
BYOD(私物端末の業務利用)
私物のスマホやPCを業務利用させる場合(BYOD)のルールです。
- 会社が指定するセキュリティ対策(OSアップデート、パスコードロック等)を実施している端末のみ利用を許可する
- 紛失時に遠隔でデータ消去(リモートワイプ)を行うことへの同意を得る
失敗しないための注意点:形骸化させない工夫
立派な規程を作っても、実際に守られなければ意味がありません。形骸化を防ぐために、次の点に注意しましょう。
業務効率を無視した「厳しすぎるルール」にしない
例
- 「パスワードは毎月変更する」
- 「USBメモリは一切禁止とする」
このように利便性を大きく損なうルールばかりだと、社員が抜け道(私用メールでのデータ送信など)を探し始め、かえってリスクが高まることがあります。
現代のセキュリティ基準(NISTなど)も踏まえ、「頻繁な変更は求めない代わりに、複雑で長いパスワードを設定する」といった、実効性の高いルールにすることが重要です。
専門用語を避け、平易な言葉で書く
新入社員やITに詳しくない社員でも理解できる表現を心がけます。
「脆弱性」「マルウェア」などの専門用語には注釈を入れるか、「セキュリティ上の欠陥」「コンピュータウイルス」といった言い換えを検討しましょう。
定期的な見直し(PDCA)
IT技術や攻撃手法は日々変化しています。
規程は「作って終わり」ではなく、少なくとも年に1回程度は見直しを行い、状況に応じてアップデートし続けることが重要です。
まとめ
情報セキュリティ社内規程の作成は、企業をサイバー攻撃や内部不正から守るための土台づくりです。
単にテンプレートをコピーするのではなく、自社の「守るべき情報」と「働き方」に合わせた、現実的で運用しやすいルールに落とし込むことが大切です。
まずは、IPAのガイドラインなどを参考に骨子を作成し、本記事で紹介した「必須項目」が盛り込まれているかをチェックするところから始めてみてください。
※内容によってはご相談をお受けできない場合がありますので、ご了承ください。
