中小企業向け 情報セキュリティポリシーの作り方|IPAテンプレ+SCS評価制度★3対応の5ステップ【2026年版】
取引先から「セキュリティポリシーを見せてください」と言われて何も出せない状態を避けるための5ステップを、現役情シス10年目が解説。IPA第3.1版テンプレートをベースにした基本方針・対策基準・実施手順の3層構造、SCS評価制度★3のガバナンス要件、生成AI利用ルールまで網羅。社長が承認するまでの実装手順をテンプレ付きでまとめました。
「うちの会社に、情報セキュリティポリシーってあったっけ?」
もし社長自身がそう思ったなら、この記事はまさに今のあなたのために書かれています。
情報セキュリティポリシーとは、会社の大切な情報をどう守るかを、全社員に向けて明文化したルールブックのことです。「うちは少人数だから、暗黙の了解でなんとかなっている」という声もよく聞きますが、2026年度末に開始予定のSCS評価制度では、セキュリティに関する方針の策定と経営層の関与が明確に求められます。SCS評価制度の全体像と★3取得の流れは別記事で解説しています。取引先から「御社のセキュリティポリシーを見せてください」と言われたとき、何も出せないようでは、取引機会を失いかねません。
私の経験からお伝えすると、ポリシーは「完璧なもの」を目指す必要はありません。「自社で実際に運用できる現実的な内容」で、全従業員が理解できるものであることが何より大切だと思います。
本記事では、IPAのテンプレートを活用しながら、中小企業に特化した情報セキュリティポリシーの作り方を5ステップで解説します。
想定読者
- 情報セキュリティポリシーがない、または形骸化していると感じている中小企業の経営者・担当者の方
- SCS評価制度の★3取得に向けて、ガバナンス体制を整備したい方
- 取引先からセキュリティポリシーの提出を求められている方
この記事で得られること
- 情報セキュリティポリシーとは何か、なぜ中小企業に必要なのか
- ポリシーの3層構造(基本方針・対策基準・実施手順)の理解
- 社長が承認するまでの5ステップ
- SCS評価制度(★3)のガバナンス要件への対応方法
- すぐに使える中小企業向けテンプレート(基本方針+対策基準)
- 策定後に「浸透させる仕組み」の作り方
【基礎知識】情報セキュリティポリシーとは?
3つの基本的な疑問に答える
Q. 情報セキュリティポリシーって何?
会社が持つ大切な情報(顧客データ、設計図、財務情報など)をどのように守るかの方針・ルール・手順をまとめた文書です。「情報の守り方の約束事」を書いたものだと考えてください。
Q. うちのような中小企業にも必要?
はい、必要です。IPAの調査によると、サイバー攻撃被害に遭った中小企業の約7割が取引先にまで影響が及んだと回答しています。また、セキュリティ体制を整備している企業の約6割が「対策実施が取引につながった」と回答しており、ポリシーの策定はビジネスチャンスにも直結すると言えます。
Q. 大企業のものをコピーすればいいのでは?
いいえ。大企業のポリシーは専任チームや大規模予算を前提としているため、そのまま中小企業に持ってきても現実的に運用できません。自社の規模・業態・体制に合ったポリシーを作ることが重要です。
ポリシーの「3層構造」を理解する
情報セキュリティポリシーは、総務省の指針に基づき、一般的に以下の3層で構成されます。
graph TB
style L1 fill:#1a5276,stroke:#5dade2,color:#ecf0f1,stroke-width:2px
style L2 fill:#1e8449,stroke:#58d68d,color:#ecf0f1,stroke-width:2px
style L3 fill:#b9770e,stroke:#f4d03f,color:#ecf0f1,stroke-width:2px
style PUB fill:#7d3c98,stroke:#bb8fce,color:#ecf0f1,stroke-width:2px
style INT fill:#922b21,stroke:#f1948a,color:#ecf0f1,stroke-width:2px
L1["📜 第1層:基本方針<br/>──────<br/>会社としてのセキュリティの<br/>考え方・姿勢を宣言<br/>──────<br/>対象:社外にも公開<br/>分量:A4で1〜2ページ<br/>改定頻度:年1回程度"]
L2["📋 第2層:対策基準<br/>──────<br/>基本方針を実現するための<br/>具体的なルール・基準<br/>──────<br/>対象:全従業員が参照<br/>分量:A4で10〜20ページ<br/>改定頻度:年1〜2回"]
L3["📝 第3層:実施手順<br/>──────<br/>対策基準に基づく<br/>具体的な作業手順書<br/>──────<br/>対象:担当者が参照<br/>分量:業務ごとに作成<br/>改定頻度:随時"]
L1 --> L2
L2 --> L3
PUB["🌐 社外公開OK<br/>HP掲載・取引先提出"]
INT["🔒 社内限定<br/>従業員のみ参照"]
PUB -.-> L1
INT -.-> L2
INT -.-> L3中小企業がまず作るべきは**第1層の「基本方針」**です。これだけでもSCS評価制度の★3のガバナンス要件に対応できる第一歩になります。第2層・第3層は、基本方針ができてから段階的に整備すれば問題ありません。
【なぜ必要か】情報セキュリティポリシーが「必須」になる理由
理由①:SCS評価制度で「ガバナンス」が求められる
2025年12月26日に経済産業省が公表したSCS評価制度の構築方針(案)では、★3の要求事項に**「ガバナンス」**が含まれています。
具体的には以下が求められます。
- セキュリティ担当者の明確化(CISO等の責任者を決める)
- 経営層の関与(経営者がセキュリティ方針を承認し、宣言する)
- セキュリティに関する組織体制の構築(インシデント対応チーム=CSIRTの整備を含む。体制の作り方は「中小企業のCSIRT構築ガイド」で解説しています)
つまり、情報セキュリティポリシーの策定と、それを経営者が承認・宣言することが、★3取得の前提条件になるわけです。
理由②:取引先からの要請が増加している
IPAの調査によると、中小企業全体の約1割強が取引先からセキュリティ対策を要請された経験があります。セキュリティ体制を整備している企業の約6割が「対策実施が取引につながった」と回答しています。
セキュリティポリシーは、コストではなく営業資産なのです。
理由③:AI時代の新たなリスクに対応する必要がある
ChatGPTなどの生成AIサービスが急速に普及する中、従業員が業務で生成AIに顧客情報や社内の機密データを入力してしまう「シャドーAI」のリスクが生まれています。
2026年の今こそ、生成AIの利用ルールを含めた情報セキュリティポリシーを策定するタイミングだと私は考えています。AIの活用を禁止するのではなく、「安全に使うためのルール」を明確にすることが、中小企業の競争力を守る鍵ではないでしょうか。
【5ステップ】社長が承認するまでの流れ
graph TB
style S1 fill:#1e8449,stroke:#58d68d,color:#ecf0f1,stroke-width:2px
style S2 fill:#1a5276,stroke:#5dade2,color:#ecf0f1,stroke-width:2px
style S3 fill:#b9770e,stroke:#f4d03f,color:#ecf0f1,stroke-width:2px
style S4 fill:#7d3c98,stroke:#bb8fce,color:#ecf0f1,stroke-width:2px
style S5 fill:#922b21,stroke:#f1948a,color:#ecf0f1,stroke-width:2px
style GOAL fill:#1a5276,stroke:#5dade2,color:#ecf0f1,stroke-width:3px
S1["ステップ1<br/>体制を決める<br/>──────<br/>担当者と責任者を<br/>明確にする<br/>(1日)"]
S2["ステップ2<br/>守る対象を整理する<br/>──────<br/>情報資産を洗い出し<br/>重要度を決める<br/>(1〜2週間)"]
S3["ステップ3<br/>ポリシーを書く<br/>──────<br/>テンプレートを使い<br/>自社向けにカスタマイズ<br/>(1〜2週間)"]
S4["ステップ4<br/>経営層に説明・承認<br/>──────<br/>社長に説明し<br/>正式に承認を得る<br/>(1日)"]
S5["ステップ5<br/>全社に周知・浸透<br/>──────<br/>全従業員に説明し<br/>運用を開始する<br/>(1〜2週間)"]
GOAL["🎯 運用開始<br/>──────<br/>定期的な見直し<br/>PDCAサイクルへ"]
S1 --> S2
S2 --> S3
S3 --> S4
S4 --> S5
S5 --> GOALステップ1:体制を決める(所要時間:1日)
最初にやるべきことは、「誰が」セキュリティ対策の責任者で、「誰が」ポリシー策定を担当するかを決めることです。
| 役割 | 担当の目安(中小企業) | やること |
|---|---|---|
| 情報セキュリティ責任者 | 社長、または役員クラス | 方針の最終承認、予算確保 |
| 情報セキュリティ担当者 | 総務部長、IT担当者(兼任OK) | ポリシー策定・運用の実務 |
| 部門セキュリティ担当者 | 各部門のリーダー | 部門内の情報資産洗い出し協力 |
中小企業では、専任のセキュリティ担当者がいないことがほとんどです。兼任で問題ありません。 大切なのは「名前」を決めることです。
ステップ2:守る対象を整理する(所要時間:1〜2週間)
次に、「何を守るか」を明確にします。情報資産の棚卸しですね。
まずは**「漏洩したら最も困る情報」**を3〜5個特定するだけでOKです。最初から全部門・全情報を完璧に洗い出す必要はありません。そこから段階的に範囲を広げていきましょう。PCやクラウドサービスなどIT資産の棚卸しとあわせて進めたい場合は、IT資産管理の始め方を参照してください。
| 重要度 | 基準 | 情報の例 |
|---|---|---|
| 極秘 | 漏洩すると事業存続に関わる | 顧客の個人情報、与信情報 |
| 秘密 | 漏洩すると大きな損害が発生 | 設計図面、決算データ、取引条件 |
| 社内限定 | 漏洩すると業務に影響 | 社内連絡先、業務マニュアル |
| 公開 | 漏洩しても影響は限定的 | 会社パンフレット、公開プレスリリース |
ステップ3:ポリシーを書く(所要時間:1〜2週間)
いよいよポリシーの文書を作成します。ゼロから書く必要はありません。 IPAが公開している「情報セキュリティ基本方針(サンプル)」をベースに、自社向けにカスタマイズしましょう。
【テンプレート】中小企業向け 情報セキュリティ基本方針
以下は、IPAのサンプルをベースに、中小企業向けにアレンジしたテンプレートです。【】で囲まれた部分を自社の内容に置き換えてお使いください。
情報セキュリティ基本方針
制定日:【2026年○月○日】 最終改定日:【2026年○月○日】
【株式会社○○○○】(以下「当社」)は、当社の事業活動において取り扱うすべての情報資産を、サイバー攻撃、不正アクセス、情報漏洩等の脅威から保護するため、以下の方針に基づき情報セキュリティ対策に取り組みます。
1. 経営者の責任 当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。経営者は情報セキュリティに関する責任を負い、必要な経営資源を確保します。
2. 社内体制の整備 当社は、情報セキュリティの維持及び改善のための管理体制を整備します。情報セキュリティ責任者を定め、全社的な対策の推進と管理を行います。
3. 従業員の取り組み 当社の従業員は、情報セキュリティの重要性を認識し、この基本方針及び情報セキュリティに関する社内規程を遵守します。当社は、従業員に対する情報セキュリティの教育・啓発活動を定期的に実施します。
4. 法令及び契約上の要求事項の遵守 当社は、情報セキュリティに関する法令、規制、規範及び契約上の義務を遵守します。
5. 違反及び事故への対応 当社は、情報セキュリティに関する違反及び事故が発生した場合、速やかに対処するとともに、再発防止策を講じます。
6. 生成AI等の新技術への対応 当社は、生成AIをはじめとする新たな技術の活用にあたり、情報漏洩やセキュリティ上のリスクを考慮した利用ルールを定め、従業員に周知します。
7. 定期的な見直し 当社は、情報セキュリティ対策の状況を定期的に見直し、社会環境や技術の変化に応じて、本方針及び関連規程の継続的な改善に努めます。
【2026年○月○日】 【株式会社○○○○】 代表取締役 【○○ ○○】
💡 ポイント **第6項「生成AI等の新技術への対応」**は、2026年の時点で追加すべき項目です。IPAの原典サンプルにはありませんが、AI時代のリスクに対応するために加えています。A4で1ページに収まるシンプルさを意識してみてください。
【テンプレート】中小企業向け 対策基準の主要8項目
基本方針に続いて策定する「対策基準」の主要項目を以下にまとめます。中小企業で運用しやすい項目に絞っています。
1. 組織的対策
- 情報セキュリティ責任者・担当者を決め、役割と権限を明確にする
- インシデント発生時の報告ルートを定める
2. 人的対策
- 入社時に情報セキュリティに関する誓約書を取得する
- 年1回以上のセキュリティ教育を実施する(eラーニング・クイズ形式でもOK)。具体的な教育計画の立て方は「セキュリティ教育の年間計画テンプレート」をご参照ください
- 退職時に貸与機器の返却、アカウント削除を実施する
3. 情報資産管理
- 情報を「極秘」「秘密」「社内限定」「公開」の4段階で分類する
- 極秘・秘密情報の持ち出しは上長の承認を必須とする
4. アクセス制御
- IDは1人1アカウントとし、共有アカウントは禁止する
- パスワードは12文字以上とし、重要システムには多要素認証を導入する
- 退職者のアカウントは退職日当日に無効化する
5. IT機器管理
- 会社が許可していないソフトウェア・アプリのインストールを禁止する
- OS・ソフトウェアは常に最新の状態に更新する
6. インシデント対応
- セキュリティ事故発生時は、発見者が直ちにセキュリティ担当者に報告する
- 初動対応として端末のネットワーク切断を実施する
7. 外部委託管理
- 重要情報を委託先に提供する場合は、秘密保持契約を締結する
- 委託先のセキュリティ対策状況を確認する
- ITベンダーの選定基準や契約管理の進め方については、「ベンダーマネジメントの基本 ── IT業者に振り回されないための5つの心得」も参考にしてください
8. 生成AI利用ルール
- 業務で利用する生成AIサービスは、会社が承認したものに限定する
- 顧客の個人情報、機密情報を生成AIに入力することを禁止する
- 新たなAIサービスの利用開始時はセキュリティ担当者に申請する
ステップ4:経営層に説明・承認を得る(所要時間:1日)
ポリシーのドラフトが完成したら、経営層(社長)に説明し、正式に承認を得ます。
経営者は多忙です。以下の3点に絞って説明しましょう。
① なぜ今やるのか(ビジネスインパクト)
- SCS評価制度の★3取得には、セキュリティポリシーの策定が前提条件
- 2026年度末に制度開始予定。今から準備しないと間に合わない
- 大手取引先からセキュリティ体制の確認を求められるケースが増加中
② 何をするのか(具体的な内容)
- 基本方針(A4で1ページ)を社長名で公開する
- 対策基準(主要8項目)を社内ルールとして運用する
- 年1回の教育と見直しを実施する
③ どれだけコストがかかるのか(費用感)
- ポリシー策定自体にかかるコスト:ほぼゼロ(IPAテンプレートを活用)
- 運用コスト:年1回の教育にかかる時間(全社員×1〜2時間程度)
ステップ5:全社に周知・浸透させる(所要時間:1〜2週間)
社長の承認を得たら、全従業員に周知します。ここが最も重要なステップです。ポリシーは作っただけでは何の意味もありません。
私が強く推奨するのは、ポリシーを**「作って終わり」にしない仕組み**を最初から組み込むことです。
浸透させるための5つの施策:
- ① 全社説明会の開催:社長自身が冒頭で「なぜセキュリティが大切なのか」を一言話すだけでも、従業員の意識は大きく変わります。
- ② 常時閲覧可能にする:社内ポータル・共有フォルダに全文を掲載し、いつでも誰でも見られる状態にする。
- ③ 定期教育の実施:年1回以上のeラーニング。クイズ形式にすると理解度の確認もできます。
- ④ 違反時の対処を明示:「まず注意・指導」→「繰り返す場合は懲戒」という段階的なプロセスにすることで、従業員が萎縮せずにルールを守れる環境を作れます。
- ⑤ 定期的な見直し:年1回、ポリシーの内容を見直す。新たな脅威・制度変更に対応していきます。
【ユースケース】業種別の対応例
ケース1:製造業(従業員60名)── 取引先に求められて策定
状況:発注元の大手メーカーから「セキュリティポリシーの提出」を求められた。
対応策:総務部長をセキュリティ担当者に任命 → IPAテンプレートを元に基本方針を3日で作成 → 社長名で発行し取引先に提出 → 対策基準は3ヶ月かけて段階的に整備
結果:取引先の信頼を獲得し、新規案件も受注。SCS評価制度の実証事業にも参加申込み。
ケース2:IT系サービス業(従業員25名)── ★4取得を見据えて策定
状況:大手企業からのシステム開発受託が主力事業。シャドーIT・シャドーAIのリスクあり。
対応策:CTOをセキュリティ責任者に任命 → 「生成AI利用ルール」を重点的に整備(許可ツールの一覧化、入力禁止データの明確化) → 全社員に利用中ツールのアンケートを実施
結果:未承認ツール12件を発見し整理。顧客への提案時にセキュリティポリシーを添付することで信頼性が向上。
ケース3:サービス業(従業員10名)── 最小限から始める
状況:ECサイト運営の小規模企業。IT担当者は不在。
対応策:社長自らがセキュリティ責任者を兼務 → 基本方針のみをまず策定(A4で1ページ) → 対策基準は「パスワード管理」「個人情報の取扱い」「生成AI利用」の3項目に絞って策定 → 全員参加の30分ミーティングで周知
結果:ECサイトに基本方針を掲載し、顧客の安心感を向上。
【失敗パターン】よくある失敗と対策
失敗①:完璧を目指して永遠に完成しない
対策:まずは基本方針(A4で1ページ)だけでも完成させて公開する。100点を目指すのではなく、60点でもいいから「今日から運用する」ことが大切です。
失敗②:大企業のポリシーをコピペしてしまう
対策:自社で運用できない内容は意味がありません。IPAの中小企業向けテンプレートをベースに、自社の規模・体制に合わせてカスタマイズしましょう。
失敗③:作ったきりで誰も読まない
対策:社内ポータルへの掲載、年1回の教育、クイズによる理解度チェックなど、「浸透させる仕組み」を最初から計画に含めましょう。ポリシーは生き物です。
よくある質問(FAQ)
Q1. ポリシーの策定にどのくらいの期間がかかりますか?
A. 基本方針だけなら1〜2日で完成できます。対策基準まで含めると2〜4週間が目安です。まず基本方針だけ完成させるだけでも大きな一歩かと思います。
Q2. 外部の専門家に依頼すべきですか?
A. 基本方針と対策基準の策定は、IPAのテンプレートを活用すれば自社で対応可能です。2026年8月開始予定の「お助け隊サービス(新類型)」の実証事業に参加すれば、専門家の支援を無料で受けられます。
Q3. 生成AIの利用ルールは本当に必要ですか?
A. 必要です。ルールがないと、従業員が善意で業務効率化のために使ったAIサービスに、顧客の個人情報や社内の機密情報を入力してしまうリスクがあります。AIを禁止するのではなく、安全に使うためのルールを作ることが大切です。
Q4. 従業員が少ない(10名以下)企業でもポリシーは必要ですか?
A. はい、必要です。人数が少ないからこそ、1人の不注意が会社全体に影響します。ただし、10名以下であれば基本方針と、最低限の対策基準(パスワード管理・情報の持ち出しルール・AI利用ルールの3点)だけで十分だと思います。
Q5. ISMSを取得すれば、セキュリティポリシーは不要ですか?
A. いいえ。ISMS(ISO 27001)の認証取得プロセスでも、情報セキュリティ方針の策定は必須の要求事項です。ただし、中小企業にとってISMS取得はハードルが高いため、まずはポリシーの策定から始めるのが現実的です。
【アクションリスト】明日から始めること
今週中にやること
- 情報セキュリティ責任者と担当者を決める(社長が決定)
- IPAの「情報セキュリティ基本方針(サンプル)」をダウンロードする
- 本記事のテンプレートを参考に、基本方針のドラフトを作成する
今月中にやること
- 基本方針を社長名で正式に発行する
- 自社ホームページに基本方針を掲載する
- 各部門の主要な情報資産を洗い出す
3ヶ月以内にやること
- 対策基準を正式に策定し、全従業員に説明する
- 全従業員向けのセキュリティ教育(eラーニング等)を実施する
- SECURITY ACTION ★1・★2 を宣言する(未実施の場合)
【まとめ】ポリシーは「信頼の土台」を築くもの
本記事の内容をまとめると、こんな感じになります。
- 情報セキュリティポリシーは、SCS評価制度★3取得の前提条件であり、取引先への信頼アピールにもなる
- ポリシーの3層構造(基本方針・対策基準・実施手順)のうち、まず「基本方針」から着手する
- 社長が承認するまでの5ステップは「体制→棚卸し→ポリシー作成→承認→周知」
- 2026年の今、生成AIの利用ルールを含めることが必須
- 完璧を目指さず、60点で運用を開始することが大切
私はセキュリティポリシーを**「会社と従業員の約束事」**だと考えています。この約束事があるからこそ、従業員は安心して仕事ができ、取引先は信頼して情報を預けてくれる。ポリシーは壁を作るものではなく、信頼の土台を築くものです。
まずはA4で1ページの基本方針を作ることから始めてみてください。テンプレートの空欄を埋めるだけで、今日中に完成できるはずです。ポリシーに定めるアクセス制御やMFAの具体的な導入手順は「ゼロトラストセキュリティ入門」で段階的なロードマップを解説しています。DX推進の現在地を把握したい方や、セキュリティ対策をDXと両輪で進めたい方は、DX成熟度のセルフ診断もあわせてご覧ください。
以上となります。
最後まで読んでいただき、ありがとうございました。
参考: