ISO/IEC 27001は、情報セキュリティマネジメントの国際規格です。
情報セキュリティの「機密性」「完全性」「可用性」を守る仕組みを、企業や組織が構築し、継続的に改善することを求めます。
初心者向けのキーワード解説:
- 機密性: 情報を許可された人だけが見られる状態
- 完全性: 情報が改ざんされず正確なままである状態
- 可用性: 必要なときに情報にアクセスできる状態

2.2. 情報セキュリティマネジメントシステム(ISMS)の全体像

ISMSでは、リスクアセスメントを行いながら、リスクに合わせた対策を決め（Plan）、実行（Do）、監査や測定でチェック（Check）し、改善（Act）を回していきます。

PDCAサイクルで回し続けるために、具体的な目標を設定し、その達成状況を定期的に評価するのがポイントです。

2.3. 中小企業にも広がるISMS導入の背景とメリット

昔は大企業だけが取得しているイメージでしたが、近年はサプライチェーンの中でISMSを求められる場合が増え、中小企業でも導入が進んでいます。
メリット:
- セキュリティ事故を未然に防ぐ（顧客情報や従業員情報の漏洩リスク減）
- 取引先や顧客への信頼アピール（契約獲得に有利）

3. ISMSで目標を設定する意義：どんな効果が得られる？

3.1. セキュリティリスクの可視化とスタッフの意識向上

「目標」を立てると、会社として「ここまでリスクを下げよう」「ここまで事故を減らそう」と具体的に意識できるようになります。

例: 「重要書類のファイリングミスを0件にする」「社外へのメール誤送信をゼロにする」
コンサル経験: 目標を掲げると、自分の行動がセキュリティ事故に直結することを社員が再認識し、意識が一気に高まります。

3.2. 取引先や顧客への信頼獲得（法令・取引先要件への対応）

多くの大企業や官公庁が「ISMSを持っているかどうか」をサプライヤー選定の条件にしています。
しっかりした目標を持ち、「セキュリティ対策に真剣に取り組んでいます」と示すことで、取引先や顧客からの信頼度が高まります。

3.3. コスト削減や事故回避など経営面のプラス要素

一度セキュリティ事故が起きると数百万～数千万円の損失が発生するケースも。
「誤送信ゼロ」「無許可USB使用ゼロ」など具体的な目標を追うことで、ミスや事故による大きな損失を防げるのは、経営的に見ても大きなメリットです。

4. 目標設定の基本ステップ：初心者が押さえておきたい流れ

4.1. ステップ1：情報資産を洗い出し、リスクを特定する

情報資産: 顧客データ、設計図、従業員の個人情報、システムなど
まずは「何を守らなければいけないか」をリストアップし、それぞれに対するリスク（不正アクセス、ウイルス感染、紛失など）を考えます。

4.2. ステップ2：リスク評価と優先順位づけ

リスクの重大度を「発生しやすさ×影響度」でランク付けし、高いリスクから目標を設定するのがおすすめ。
コンサル視点: すべて対策するのは非現実的なので、優先度の高いリスクから目標を立てるのが効果的。

4.3. ステップ3：ISO/IEC 27001の要求事項と照らし合わせて目標を作る

ISO27001の附属書Aには、セキュリティ対策の多くの項目が書かれています。
自社で洗い出したリスクと附属書Aの管理策をマッチングさせ、「どの部分を強化するか」を考え、目標を設定します。

4.4. ステップ4：目標達成のための具体的アクションと担当・期限の設定

「パスワード更新率100％」「USBメモリ利用申請率100％」と決めたら、誰がいつまでに何をするかを明確に。
これがないと社員が「どう動けばいいか」分からず、目標が空回りになります。

5. ISMS 目標の具体例：中小企業でもすぐに取り組めるパターン

5.1. アクセス権限管理の強化（例：不要アカウント削除率100％）

目的: 不要なアカウントが残っていると、そこから不正侵入が起きるリスクがある。
目標例: 「3か月に1回アカウント一覧をチェックし、退職者・異動者のアカウント削除を100％完了」
ポイント: 定期的な棚卸しと担当割りがカギ。

5.2. セキュリティインシデント報告率向上（例：24時間以内の発見率を90％に）

背景: インシデントが起きても、担当者が放置したり報告が遅れると被害が拡大しやすい。
具体例: 「ウイルス警告が出たら30分以内にIT担当へ連絡」「報告件数（もしくは発見率）を90％以上」
効果: 早期発見・早期対処ができれば大事に至らないケースが増える。

5.3. メール誤送信防止（例：誤送信回数ゼロを目指す）

失敗例: 顧客の個人情報や機密ファイルを誤送信し、大きな信用失墜に…
対策目標: 「全社員が送信前に2人目のチェックを受ける」「自動暗号化システム導入で、暗号化漏れ率0％」
実務: 簡単なルール（件名の先頭に[暗号化必須]など）を作ることでミスを減らす事例があります。

5.4. パスワード管理ルール遵守率（例：全社員のパスワード有効期限100％実施）

目的: 初期パスワードをずっと使う社員がいると、外部からの侵入リスクが高い。
目標例: 「6か月ごとにパスワード変更率100％」「複雑さ要件（英数字記号含む）遵守率100％」
注: パスワード定期変更が必ずしもベストかは議論があるが、初心者向けには最初のルール設定として分かりやすい例。

5.5. 教育・訓練目標（例：定期セキュリティ研修受講率100％）

背景: 社員一人ひとりの意識が薄いと、どれだけ対策をしてもヒューマンエラーが起こる。
目標例: 「年2回のセキュリティ研修を全員受講」「フィッシングメール演習で成功率10％以下を目指す」
効果: トラブル事例や最新の攻撃手口を学ぶことで、日常行動が変わりセキュリティ事故が減る。

6. リスクアセスメントを使った目標例：評価に基づいた目標づくり

6.1. どのようにリスクを「高・中・低」で判定するか

リスク評価: 「影響度（大・中・小）」×「発生可能性（高・中・低）」などのスコアリングを行い、合計点が高いものを優先。
例: 「お客様の個人情報（影響度大・発生可能性中）」は高リスクとする。

6.2. リスクレベルに応じた目標（例：高リスクの外部攻撃対策を最優先）

例: 「高リスク：外部攻撃→WAF（Webアプリケーションファイアウォール）導入率100％、月1回ログ分析」
中リスク: 内部不正やUSB使用などはルール策定や棚卸しを目標に。
ポイント: 全部を一度に対策するのは難しいので、リスクが大きい順に目標を設定。

6.3. リスク対応策（例：ファイアウォール、脆弱性診断、侵入テストなど）の具体例

ファイアウォール: 外部との通信を制限し、不正アクセスをブロック→「設定ミスゼロ」を目標にする。
脆弱性診断: 定期的にシステムをチェックして弱点を発見→「四半期1回実施」などの目標を掲げる。
侵入テスト: ホワイトハッカーや専門会社に依頼し、内部侵入テストを実施→「重大脆弱性ゼロ」を目指す。

7. 改善のPDCAサイクルと運用のコツ

7.1. Plan-Do-Check-Actをスムーズに回すためのポイント

Plan: 「リスク評価」「目標設定」「対策計画」をしっかりドキュメント化
Do: 具体的対策を実行（アクセス権見直し、研修実施など）
Check: 内部監査や記録で進捗・効果をチェック
Act: 目標が達成できなかった原因を分析し、次の計画で修正
コンサル経験: 目標を掲げてもCheckが不十分だと形骸化しがち。定期的に点検する仕組みを作ると成功率が上がります。

7.2. 短い周期でのモニタリングと内部監査の活用

例: 月次でログを確認し、社員の誤送信数やアクセス異常を集計→定例ミーティングで報告
内部監査: 数か月に一度、第三者的な視点で「目標がちゃんと運用されているか」をチェックすることで改善が進む。

7.3. 経営層や管理職のコミットメントを引き出す工夫

なぜ大事？ 予算や優先度を決めるのは経営層であることが多い
手法: 四半期ごとの簡単な報告会で、目標達成状況をグラフ化して提示。トップから「次はこうしよう」という指示をもらいやすくなる。

8. 成功事例：目標例を活かしてISMSを改善した企業のストーリー

8.1. IT企業A社：アクセス制御目標を達成し、外部審査でも高評価

背景: 社員数50名、開発用アカウントが多数あって管理が甘かった
目標: 「不要アカウントを毎月確認＆削除率100％」「パスワード変更徹底」
結果: 数か月でアカウントの整理が終わり、外部審査で「アクセス制御がしっかりしている」と評価された。セキュリティ意識も上がり、従業員の満足度が上昇。

8.2. 製造業B社：誤送信削減目標で顧客クレームゼロに成功

目標: 「1年以内にメール誤送信0件を目指す」「添付ファイル暗号化100％徹底」
対策: メール送信チェックツール導入、上長承認を必須化、一部自動暗号化設定
成果: 半年間で誤送信が激減し、顧客へのクレームが0件に。外部審査でも「ルールと実績が伴っている」と高評価。

8.3. サービス業C社：教育目標を徹底し、セキュリティ事故リスクを半減

背景: 従業員100人ほどのコールセンターで、個人情報の取り扱いが多い
目標: 「年2回の全員セキュリティ研修受講率100％」「フィッシング演習で引っかかる社員を半減」
結果: 社員の知識が増え、不審メールへの対処が素早くなり、実際の被害報告ゼロに。運用担当者いわく「数字目標を導入することで社員のモチベーションが大きく変わった」。

9. 失敗事例と注意点：目標設定で陥りやすいミス

9.1. 目標が抽象的すぎて社員が取り組めない例

失敗例: 「セキュリティを強化しましょう」だけで具体的な数字や行動がない
回避策: 先に示したように「誤送信0件」「受講率100％」など明確な指標をつくる。

9.2. 形式だけの目標で内部監査や外部審査で指摘続出

失敗例: 文書には「パスワード定期変更」と書くが、実際は誰もやっていない
回避策: 運用と実態を一致させるため、担当者が月1回チェックする仕組みを。

9.3. 達成困難な高い目標→モチベーション低下につながるパターン

失敗例: 「来月中にCO2排出50％削減」といった極端な数字
回避策: スモールステップを踏むこと。「まずは数％ダウン」など現実的な範囲から始め、成功体験を得るのが大事。

10. 初心者におすすめのツール・テンプレート紹介

10.1. 目標管理表とリスクアセスメント用のExcelシート

例: 「目標項目」「指標（KPI）」「達成期限」「担当者」「進捗率」をまとめる表
使い方: 毎月や四半期に更新し、達成状況を“○○％”など数値で記録。

10.2. アクセスログ管理やメール誤送信防止ツールの簡単解説

アクセスログツール: 社内システムへのログイン履歴を可視化し、怪しいアクセスを検知
メール誤送信防止ツール: 添付ファイルの自動暗号化や宛先チェック機能を備え、ヒューマンエラーを減らす

10.3. 社員教育に使えるオンライン研修やハンドブックなど

オンライン研修: オフィスにいなくても受講できるため、受講率アップに有効
ハンドブック: セキュリティ対策の基本ルールを小冊子やPDFで作り、全員に配布

11. 内部監査とマネジメントレビューで目標を軌道修正する方法

11.1. 内部監査での確認項目（目標の進捗やルール遵守）

内部監査: 自社社員が他部門や自部門を客観的にチェックし、目標の達成状況やルールの実施度を確認する。
チェック例: 「誤送信対策はちゃんと実行されているか？」「パスワードリマインドルールは守られているか？」など。

11.2. MR（マネジメントレビュー）で経営層が決めるべきこと

MR: トップマネジメントが、監査結果や目標の達成度を見て方針を決める会議。
決定事項: 予算の追加、目標のレベルアップ、取り組みの継続・縮小などを判断。
ポイント: 経営層のコミットがあると、部署や社員が積極的に行動しやすい。

11.3. 目標未達の場合はどうする？次のアクションプラン策定術

原因分析: 例えば「担当者が他業務と兼務で時間不足」「ツール導入が遅れた」など
対策: スケジュール再設定、担当者増員、ツール導入の見直しなど。
コンサル経験: “未達＝悪”ではなく、“未達→原因分析→改善策”がISMSの本質。

12. Q&A：初めてISMS目標を作る人が抱きがちな疑問

12.1. 「どのくらい細かく目標を立てるべき？」

答: 会社の規模や業種によるが、最初は重要リスクに絞った3～5項目程度が扱いやすい。
細かくしすぎると管理が大変だが、ざっくりしすぎると分かりにくいのでバランスが大事。

12.2. 「数値化しにくいセキュリティ項目はどうする？」

提案: 「インシデント数」や「ルール遵守率」「教育受講率」など、可能な部分を数値化。どうしても数値が難しい場合は“有効に機能しているか”をチェックする項目に設定する（監査や評価レポートで判断）。

12.3. 「ISMS目標とISO27001要件との関係を簡単に理解したい」

解説: ISO27001では目標を定める→運用→監視→改善という流れを重視。
目標を持つことで実際に“情報セキュリティを守る”行動を起こす仕組みを確認している。

12.4. 「目標達成できなかったら審査で落ちるの？」

答: 必ずしも不合格になるわけではありません。重要なのは「未達の場合、原因を分析して改善を回しているか」。形骸化していると指摘を受ける可能性があります。

13. まとめ：ISMS目標はセキュリティ強化の重要なカギ

13.1. この記事で伝えたポイントのおさらい

ISMS目標を設定することは、情報セキュリティリスクを明確にし、社員の意識を高めるために必須
具体的な目標例（アクセス権、メール誤送信、パスワード管理、教育など）を参考に、自社のリスクや優先度に合わせて作る
目標を立てただけでなく、PDCAサイクルを回し、内部監査やマネジメントレビューで軌道修正しながら運用することが大切

13.2. 小さな成功体験を積み重ね、大きなリスク回避へ

最初は小さな目標でも、達成感を得ると社員が「情報セキュリティって大事だね」と実感し、どんどん習熟度が上がります。
結果として大きな情報漏洩リスクを回避し、取引先からの信頼度もアップ。

13.3. 今すぐ始められる第一歩：自社のリスク洗い出しから着手しよう

アクションリスト:
1. 情報資産を書き出し、リスクを簡単に評価する
2. 最も危険度が高いリスクを1～3個選び、目標を数値化
3. 社員と共有し、月単位でモニタリングを実行

14. 関連リンク・参考資料

セキュリティ関連の補助金・助成金情報ページ
- 各自治体や商工会議所、IT導入補助金など
内部監査や目標設定に役立つツール・テンプレート
- JIPDEC（一般財団法人日本情報経済社会推進協会）: https://www.isms.jipdec.or.jp/

おわりに

ISMSにおける目標設定は、企業のセキュリティレベルを確実に引き上げるための要といえます。具体的な数値や期限を持つことで社員全員が「自分たちの行動が情報漏洩リスクを下げている」と認識しやすくなるのです。この記事で挙げた目標例やステップをヒントに、ぜひ自社独自のISMS目標を立ててみてください。少しずつ達成しながらPDCAを回すうちに、情報資産をしっかり守る文化が根付き、取引先や顧客からの信頼度も大きく高まるでしょう。初心者の方でも、まずはできるところから始めてみてくださいね！

この記事の監修者情報

金光壮太 (ISOコンサルタント)

大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている。

ISMSの目標例を徹底解説！初心者でも取り組める情報セキュリティ強化のステップ

1. はじめに

1.1. 記事の目的と対象読者

1.2. なぜISMSで目標を設定することが重要なのか

2. ISMSとは？初心者でも分かる基本概要

2.1. ISO/IEC 27001の位置づけと用語解説