ISMS年間目標の立て方:具体例・参考例を初心者向けにわかりやすく解説!
- 【監修者】金光壮太(ISOトラストのコンサルタント)
- 3月25日
- 読了時間: 10分
▼ 目次
1. はじめに
1.1. 本記事の目的と想定読者
ISMS(Information Security Management System)では、“毎年どんな目標を設定し、どんな改善を行うか”がとても重要です。年間目標を明確にしないままISMSを回すと、セキュリティ対策が曖昧になったり、審査で「実務成果が不明瞭」と指摘されることがあります。
この記事の目的
ISMSの年間目標をどう考え、どう定めればいいかを理解する
実務で役立つ具体例や他社の事例を参考に、自社に合った目標を立てられるようになる
審査でも高評価を得るための“目標設定と運用”のポイントを把握し、スムーズにISMSを運用する
想定読者
これからISO27001認証を取得しようとする企業の担当者
ISMSの運用フェーズに入り、“年間目標”づくりでつまずいている初心者
審査や内部監査で「目標が曖昧」と言われ、改善したい管理者
1.2. なぜ年間目標が重要なのか?
ISMSはPDCAサイクルが要
設定した目標を計画(Plan)→ 実行(Do)→ 確認(Check)→ 改善(Act)という流れで回す。目標がなければ指針が不明確になりやすい。
全社の意識をそろえる
セキュリティ目標を“1年で何をどの程度改善するか”と明確化することで、社員が同じ方向を向きやすい。
審査で“成果”を示しやすい
目標が具体的で測定可能だと、審査員に「ISMSがうまく運用されている」とアピールしやすい。
1.3. 本記事で得られるメリット
効果的な年間目標を立てるうえでの具体的なステップを理解できる
他社事例や経験談から、失敗を回避しながらコストと効果のバランスを取りやすくなる
審査対応にも役立つ書類化・KPI設定のポイントを押さえられ、認証取得がスムーズに進む
2. ISMSの年間目標とは?基本概念を押さえる
2.1. 年間目標の定義
ISMSの年間目標は、1年間を通じて組織として達成したい“セキュリティレベルの改善点”や“具体的な成果”を指します。たとえば、以下のような例があります。
インシデント件数を前年より20%減らす
セキュリティ研修受講率を90%以上にする
脆弱性診断を四半期ごとに実施し、高リスク項目は1か月以内に対策完了
コンサル視点: 年度末に振り返って「目標通り進んだか」「どこが達成できなかったか」を検証すると、次の年度の改善に役立ちます。
2.2. 初心者が理解すべきキーワード
KPI/KGI:
KPI(Key Performance Indicator): 達成度を測る指標(例:インシデント件数、教育受講率)
KGI(Key Goal Indicator): 最終的な成果目標(例:事故ゼロ、セキュリティ事故による金銭損失を半減)
PDCAサイクル:
Plan(計画)→ Do(実行)→ Check(確認)→ Act(改善)
年間目標を設定し、その成果を年度末や中間でチェック→ 改善策を次年度に反映
2.3. 年間目標がISMSで果たす役割
具体的な行動計画の指針
社員が日々どんな対策や取り組みを優先すべきかが分かりやすくなる。
審査や内部監査の評価項目
「この目標に対してどんな成果が出たか?」を示すと、ISMSが本当に運用されていると評価されやすい。
経営視点との連動
経営層が求めるリスク削減やコスト最適化とリンクさせると、予算や人員も確保しやすい。
3. 年間目標の立て方:初心者向けステップ解説
3.1. ステップ①:リスクアセスメント結果から主要課題を抽出
リスクアセスメント: ISMS導入時に脅威・脆弱性を評価し、“どのリスクが優先度高いか”を決めます。
高リスク項目: ランサムウェア対策や個人情報漏えい、サーバー可用性など、経営に直結するリスクを把握。
コンサル体験談: ある中小企業では、インシデント件数の多さを最大のリスクと判定→ 年間目標に“インシデント削減”を据えたところ、実際に事故率が半減。
3.2. ステップ②:経営層との連携で“どこを強化するか”を決定
リスク対応コスト: 対応策には予算・人員が必要。経営者の了承を得て、現場との折衷点を探す
他社事例: 製造業A社は社長が「ITリテラシーを上げたい」と要望→ 社員研修強化を年間目標に組み込み、IT事故発生を抑えられた
3.3. ステップ③:SMART(スマート)の原則で目標を具体化
S(Specific): 「具体的」→ 例:インシデント数を“5件以下”に抑える
M(Measurable): 「測定可能」→ 事故報告書の数、教育受講率など数字で管理
A(Achievable): 「達成可能」→ あまりに高すぎる目標はやる気を削ぐ
R(Relevant): 「組織に関連」→ 自社リスクや経営方針とのリンク
T(Time-bound): 「期限を設定」→ “年度末までに”“四半期ごとにチェック”など
3.4. ステップ④:文書化と責任分担
ISMS文書の中で目標を明確に: 「インシデント削減率20%」「教育受講率90%」などを掲げ、担当部署や責任者を指定
他社事例: IT企業B社では、部門長ごとにKPIを持たせ、“月次進捗報告”で全社共有→ トラブル発生時も各部門が迅速に対応策を考えやすい
3.5. ステップ⑤:モニタリングと改善
定期的に進捗を確認
月次会議や四半期会議で、目標達成率や問題点を洗い出す
PDCAサイクル
年度途中でもリスク状況が変わったら目標を再調整。年度末に振り返り、次年度に学びを活かす
4. 具体例・参考例:年間目標の事例紹介
4.1. 製造業A社:インシデント削減と教育強化
目標: 「年度末までにISMSインシデント件数を20%減」「全社員セキュリティ研修受講率100%」
背景: 工場管理システムの故障や誤操作が多発し、稼働停止で生産に影響
実行策: 毎月の教育+インシデント報告フローを簡易化→ 現場からの報告が増え、対策が早まりトラブルが減少
審査での評価: 「目標が明確で改善成果が数値化されている」と高評価
4.2. IT企業B社:脆弱性管理を重点的に
目標: 「Webアプリ脆弱性診断を四半期1回→ 月1回に増やす」「パッチ適用率を90%以上」
背景: Webサービスの脆弱性が顧客情報漏えいに直結するリスク大
運用の工夫: CI/CDパイプラインにパッチチェックを組み込み、開発チームとの連携を強化
成果: 不具合が出る前に脆弱性を発見→ 大規模トラブルが激減
4.3. 金融機関C社:BCP連動で可用性強化
目標: 「DR(Disaster Recovery)サイトへの切替訓練を年2回実施」「RTO(復旧時間目標)を6時間→4時間に短縮」
背景: ネットバンキングなどシステム障害が発生すると利用者からの信頼ダウン
効果: システム停止時の代替運用がしっかり回るようになり、金融庁の監査でもポジティブな評価
5. 審査対応:年間目標を設定する際に気をつけるポイント
5.1. 目標とリスク評価・管理策の整合
審査員の視点: リスクが高い領域に対してどんな目標を立て、どう対策しているか
注意: リスク評価で“高”と判定した項目に全く触れない目標だと、矛盾を指摘される恐れ
5.2. KPIの測定根拠とエビデンス
“どのように数値を測るか”を明記(インシデント件数の定義、教育参加率の計算方法など)
ログ・報告書: 達成度を示す証拠書類として審査時に提示すると信頼度が増す
5.3. 改善サイクルの明確化
PDCAのしくみ: 年度途中や期末で“目標は達成できているか”“対策が十分か”をレビュー→ 修正点を次年度に繋げる
コンサル経験談: 改善サイクルを具体的(四半期ごとのチェック、経営会議で報告など)にすると審査員から好印象
6. 運用とコミュニケーション:年間目標を社内に根付かせるコツ
6.1. 全社員への周知と動機付け
分かりやすい目標発信: ポスターやイントラ掲示、メールで定期的に伝える
成功事例: サービス業D社は「インシデント件数5件以下」を掲げ、スローガン化。トラブル発生時の報告が増え、早期発見できるように
6.2. 定期モニタリングと部門ごとの責任分担
責任者を明確に: 例えば、IT部門長がパッチ適用率を追う、総務部が物理セキュリティ向上を担当 など
社内報告: 進捗を月次会議やチャットで共有→ 遅れている場合は早期対策を考える
6.3. ISMS事務局やリスク所有者の役割
ISMS事務局: 全社的な状況をまとめ、経営層に報告。部門が目標達成に困っていたら支援
リスク所有者: 具体的なリスクを管理し、年間目標の達成度を定期的にモニタリング
7. よくある失敗例と回避策
7.1. 目標が抽象的で評価できない
原因: 「セキュリティを強化しよう」程度の曖昧表現
回避策: “インシデント件数を○件以内”“セキュリティ教育受講率○%”など測定可能に
7.2. 高すぎる目標で社員が消極的
原因: 経営層が理想だけで決める→ 現場負荷が大きくモチベーションダウン
回避策: SMART原則を適用し、“実行可能性”を考慮。中期目標と短期目標で段階的に上げる
7.3. 半年後に変化があっても更新しない
原因: 新システム導入や組織変更が発生しても、目標を見直さず放置
回避策: 四半期レビューなど定期的な見直しルールを設け、必要なら年度途中でも修正
8. Q&A:ISMS年間目標に関する疑問
8.1. 「目標はリスクアセスメントにすべて紐づける必要がある?」
回答: 原則はリスクアセスメントがベースだが、経営上の事情や顧客要求で補足もOK。重要なのはリスクと整合する形で設定すること
8.2. 「経営層が興味を示さず、形だけの目標になりそう…」
回答: リスクが企業に与える損失の大きさ(費用や信頼喪失)をデータで示すと、経営者の理解が得やすい。目標達成が費用対効果を生む点を強調
8.3. 「年間目標はいくつくらいが適切?」
回答: 多すぎると優先度がぼやけ、少なすぎると網羅性が欠ける。3~5個が目安で、部署ごとにサブ目標を設ける例もある
8.4. 「審査時に目標未達でも不適合になる?」
回答: 必ずしも不適合にはならない。未達原因と再発防止や改善策をしっかり説明できれば問題なし。PDCAが回っていればむしろ評価される
9. まとめ:ISMS年間目標の立て方:具体例・参考例を初心者向けにわかりやすく解説!
9.1. 記事の総括:ポイントの再確認
年間目標はISMS運用の指針であり、1年単位で“どのリスクをどう対策して何を達成するか”を示すもの
立て方のステップ: (1)リスクアセスメント確認→(2)経営層と協議→(3)SMART原則で具体化→(4)文書化→(5)モニタリング・改善
具体例: インシデント削減率、教育受講率、脆弱性管理目標、DRサイト訓練など
審査・監査の視点: リスクとの整合性、KPIの測定方法、PDCAサイクルの回し方がポイント
9.2. 次のアクション:すぐ取り組める導入フロー
リスク評価表を再点検: 自社で一番大きいリスクは何? → ここを年間目標の柱に
経営層の合意: コストやリソースを話し合い、“実行可能な目標”に落とし込む
SMART原則: ゴールを“数値”“期限”“担当”など具体化
社内周知と進捗監視: 毎月or四半期でモニタリングし、課題があれば改善
あとがき
ISMS年間目標を明確に設定することで、組織は“1年でどのリスクをどう減らすか”を具体的に意識できます。リスクアセスメントの結果を踏まえた目標設定は、管理策の導入効果を把握しやすくし、審査でも成果を示しやすいメリットがあります。本記事で紹介した実例や手順を活用し、ぜひ自社の年間目標を作り、PDCAサイクルで改善を続けてください。そうすることで、ISMS認証の取得・更新がスムーズになるだけでなく、実際のセキュリティ向上にもつながり、社員や顧客からの信頼度を高めることができます。
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている
コメント