▼ 目次
1. はじめに:ISO27001と適用宣言書の基礎知識
1.1 ISO27001とは?
情報セキュリティマネジメントシステム(ISMS) に関する国際規格
組織が情報を適切に保護し、維持管理するための枠組みを定めています。
企業規模や業種に関係なく、情報漏洩のリスクを低減し、継続的に改善する仕組みが構築できるのが大きなメリットです。
コンサル現場の声「ISO27001を取得していると、取引先からの信頼度が大きく高まる、という声はよく聞きます。特にBtoBの取引においては、セキュリティに厳しい目を向けられるケースが多いので取得価値は高いです。」
1.2 適用宣言書(SoA)とは何か
SoA (Statement of Applicability):ISO27001の附属書Aに示された管理策群のうち、自社がどれを採用し、どれを採用しないか、さらにその理由を明確に示す文書です。
組織のリスクアセスメント結果や運用状況を反映し、**「なぜ適用するのか・しないのか」**を根拠とともに説明することが重要です。
専門用語解説:附属書A ISO27001規格の中で、情報セキュリティ管理策が分類・一覧化されている附属書のことです。 どの管理策を使うかは、組織のリスクや事業特性によって変わります。
1.3 適用宣言書が求められる背景と重要性
審査機関が重視するのは「組織のリスクとコントロールの対応が整合しているか」
適用宣言書は、組織の情報セキュリティ方針を具体化した「公式な文書」と言えます。
審査・監査で最初に確認される文書の一つであり、ここに不備があるとISO27001の取得・維持に大きな影響を及ぼします。
コンサル現場の声「適用宣言書は“チェックリスト”ではなく“自社のリスクに対する戦略”が詰まった文書です。単に管理策を並べるだけでなく、自社の事業や運用実態を意識しながら作り込むと、審査でも高評価を得られます。」
2. ISO27001取得までの全体像
2.1 取得に必要な主なステップ
スコープ(適用範囲)の決定
リスクアセスメントの実施
適用宣言書の作成
運用(内部監査・マネジメントレビュー)
第三者審査機関による審査・認証取得
ポイント 各ステップを順を追ってクリアしていく流れです。 特にリスクアセスメントで洗い出した情報を適用宣言書に反映するため、これらは切り離せません。
2.2 組織内での役割分担と責任範囲
プロジェクト責任者(ISMS推進責任者)、各部門代表、IT担当者などが協力して進めます。
適用範囲や重要情報資産を把握するには、現場担当者のヒアリングが非常に重要です。
経験談「ある企業では、IT部門だけで進めようとして、営業部門の重要顧客データが考慮されないまま適用宣言書を作成してしまい、監査で大幅修正となったケースがありました。部門間の連携は必須です。」
2.3 取得までにかかる期間と大まかなスケジュール感
平均的には6ヶ月~1年程度が目安
大規模企業や複数拠点がある場合は、それ以上かかるケースも珍しくありません。
取得後も運用を続け、年に1回程度のサーベイランス審査や3年ごとの更新審査が必要です。
3. 適用宣言書作成の前準備
3.1 組織のスコープ(適用範囲)を明確にする
対象とする事業部門、拠点、システムなどを決めます。
スコープの設定ミスは後々の修正作業が大変なので、最初に慎重に決定しましょう。
プロの視点「スコープを広げすぎると運用負荷が上がり、狭すぎると“守るべき情報”がカバーされずに監査指摘を受けます。まずはコア業務から始めるなど、無理のない範囲設定がおすすめです。」
3.2 リスクアセスメントとの関係とリスク基準の設定
リスクアセスメントで洗い出したリスクの優先順位に応じて、コントロールの適用可否を判断します。
リスク基準(許容できるリスクレベル)を経営者と合意しておくことが重要。
具体例:重要顧客情報の漏洩リスク ⇒ 優先度高 ⇒ 厳格なアクセス制限や暗号化 公開情報の改ざんリスク ⇒ 優先度中 ⇒ WAF(Webアプリケーションファイアウォール)導入など
3.3 法規制・顧客要求事項の洗い出し
個人情報保護法、マイナンバー法、GDPRなど、該当する法規制を整理します。
取引先からセキュリティ要件を提示されている場合、それも考慮します。
3.4 情報資産台帳・リスク台帳の整備
情報資産台帳:システム、データ、ハードウェアなどをリスト化
リスク台帳:それぞれの情報資産に対して想定されるリスクと対策
適用宣言書は、これら台帳で洗い出した内容をもとに管理策の適用を判断します。
4. 適用宣言書の基本構成と書き方
4.1 必要項目:管理策の選択理由・適用除外の理由
管理策を「適用する」理由:リスク評価や法規制、顧客要求など
管理策を「適用除外」する理由:リスクが低い、既存の仕組みで代替可能、対象外業務のみ など
4.2 附属書Aとの紐付け方・管理策一覧の作成
ISO27001:2022版では管理策が**4つのテーマ(組織、人的、物理的、技術的)**に分類されています(※2022年改訂版の情報)。
旧版(2013年版)との違いにも注意しましょう。
プロのアドバイス「規格改訂による管理策の見直しが行われているため、最新情報を常にチェックしてください。古い情報のままで適用宣言書を作ると監査指摘の原因になります。」
4.3 組織独自の追加管理策が必要な場合の記載方法
規格外でも自社に必要な独自の管理策を設ける場合は、追記して明示します。
例:ドローン活用する業種であれば、ドローンに関するセキュリティルールを追加 など
4.4 文書のレイアウトとテンプレート例
【列例】番号/管理策名称/適用(適用除外)/理由/補足説明
バージョン管理情報(作成日、改訂日、承認者など)も明記しておくと運用上便利です。
5. 適用宣言書作成の具体的手順
リスク評価結果の整理
リスクの高い項目から優先的に管理策を選定
管理策適用・非適用の方針決定
経営者や各部門責任者と合意形成をとる
文書化(ドラフト作成)
テンプレートを用意し、各管理策ごとに理由・備考を記載
レビュー・承認
ISMS推進責任者、経営層などによるチェックと正式承認
最終版の配布・運用
関連部門に周知し、最新の運用ルールとして定着させる
実務上のヒント「初めての作成では手探りになりがちですが、既に認証を取得している他社の適用宣言書を参考にするとスムーズです。ただし、コピペは禁物。必ず自社のリスクに合わせてカスタマイズしましょう。」
6. わかりやすい適用宣言書を作るためのポイント
6.1 監査人に伝わりやすい記述のコツ
「何を、なぜ、どのように実施するか」を簡潔かつ具体的に書く
過剰に専門用語を使わず、用語集や注釈を設けると親切
6.2 組織の運用実態に合わせる工夫
理想論だけでなく、実際の運用方法(例:運用手順書やツール活用など)を明示
「実際には、こう運用している」というプロセスと結びついているかが審査のポイント
6.3 不必要な管理策を“適用外”にする際の注意点
明確な根拠を示す
「自社のビジネスに当てはまらない」「他の管理策で代替している」など、論理的に説明しましょう。
6.4 ステークホルダー(経営層・従業員)の理解を得るコツ
経営層向けにはリスク低減によるメリットを訴求
従業員向けには「何のために管理策が必要なのか」を噛み砕いて説明することで協力を得やすくなります。
7. 内部監査と第三者審査でのチェックポイント
7.1 適用宣言書が監査で重要視される理由
ISMSの“根幹”となる文書だから
他の文書(リスクアセスメント結果、手順書、ポリシー)との一貫性が問われます。
7.2 内部監査時に見落としがちなポイント
適用宣言書の更新漏れ(実際には変更したのに文書が古いまま)
管理策の実施証拠(記録やログ)が整備されていない
7.3 第三者審査でよくある指摘事例とその対応策
指摘事例:「適用外とした管理策の理由が不十分」
対応策:具体的に事業実態や代替策、リスクの低さを説明する文言を追加
指摘事例:「リスク評価の結果と不整合がある」
対応策:リスク評価と適用宣言書を再度突合して整合性を取る
7.4 監査対応をスムーズに進めるための準備
適用宣言書と関連ドキュメント(リスク台帳、ポリシー類)を整合させておく
監査で質問されそうなポイントを事前に洗い出し、“なぜそうしたのか” を説明できるようにしておく
8. 適用宣言書の運用・維持・更新
8.1 PDCAサイクルでの管理方法
Plan-Do-Check-Actサイクルを回し、定期的に改訂していく
組織の体制変更や業務プロセス変化、新たなリスク発生時に見直しが必要
8.2 リスクや環境の変化時の改訂方法
重大な事故や新規サービスの開始など、リスクプロファイルが変わるイベントが発生したら要再検討
必要に応じて管理策を追加・削除し、理由を記載
8.3 定期的に見直すべき内容と更新頻度の目安
年に1度の内部監査やマネジメントレビューのタイミング
大きな組織改編・システム更新の際にも追加でチェックすることを推奨
8.4 適用宣言書のバージョン管理と履歴の残し方
バージョン番号(v1.0、v1.1など)を振る
変更点や理由を**「変更履歴」**として残すことで、監査時の説明も容易
9. ISO27001 取得後に気をつけたい運用ポイント
9.1 継続的改善とマネジメントレビューの重要性
経営者レベルで定期的に確認し、必要に応じてリソースや予算を投入
「現場任せにしない」ことで運用が形骸化するのを防ぎます。
9.2 セキュリティ教育・訓練の実施方法
新入社員研修や定期研修で、セキュリティポリシーを周知
フィッシング訓練や情報漏洩事例の共有など、具体的なケースに基づく教育が効果的
9.3 情報漏洩リスクが高まるケーススタディと対策
リモートワークの増加による端末管理リスク
クラウドサービスの利用拡大による権限管理リスク
対策として、多要素認証やアクセスログモニタリングが必要となる場合が増えています。
9.4 ISO27001 取得後の社内周知・啓発方法
「取得した」だけで終わらせず、社内ポータルや朝礼で取得メリットと運用ルールを周知
定期的に小テストやクイズ形式でセキュリティ知識を再確認する仕組みを導入している企業もあります。
10. よくある質問(FAQ)とトラブルシューティング
10.1 適用外にした管理策への監査の視点
監査人は「本当に適用外で問題ないか」を確認します。
十分な根拠(リスク評価結果や代替策の説明)があれば問題ありません。
10.2 複数拠点やグループ企業での対応方法
共通のISMSマニュアルを作るか、拠点ごとに細分化するかはリスクと運用体制次第
統一できる部分は共通化し、拠点独自のリスクは個別に記載する方法が一般的
10.3 運用ルールと実態が乖離した場合の対処法
まずは原因調査(教育不足、現場への連絡ミス、ルールの煩雑さ など)
ルールを修正できるなら修正し、運用と文書の整合性を確保
10.4 監査で指摘を受けやすい箇所の傾向
マネジメントレビューの不十分さ
ルールと実態の不一致
管理策の実施証拠(ログや記録)の不足
11. 成功事例と失敗事例から学ぶポイント
11.1 成功事例:従業員のリテラシー向上で効果が出たケース
製造業A社:適用宣言書をシンプルにまとめ、全社員が読みやすい状態に
定期的な教育と合わせ、内部監査での指摘が激減、顧客からの信頼度も向上
11.2 失敗事例:適用宣言書が形骸化してしまったケース
IT企業B社:認証取得に追われ、テンプレートの流用で形だけ作成
実際の運用が文書と乖離し、初回のサーベイランス審査で多数の改善勧告を受ける
11.3 成功・失敗の分岐点と改善策
成功のポイント:経営層のコミットメント、現場の巻き込み、定期的な見直し
失敗の要因:形式的な文書作成、現場の運用を理解しないまま進める
12. ISO27001取得をさらに活かすために
12.1 他のISO規格(ISO9001、ISO20000など)との統合運用
品質管理(ISO9001)やITサービスマネジメント(ISO20000)と組み合わせると、内部監査を効率化したり、管理文書を共通化できるメリットがあります。
12.2 ISMS向上のための新技術・ツール活用例
クラウド型ISMS管理ツール:リスクアセスメントや管理策一覧をデジタルで一元管理
AIによるログ分析:侵入や異常挙動を自動検知するシステムの導入
12.3 情報セキュリティの最新動向と今後の展望
ランサムウェアや標的型攻撃など、サイバー攻撃は高度化の一途
ISO27001取得だけで安心せず、ゼロトラストセキュリティやクラウドセキュリティなど新たな考え方・技術を組み合わせていくことが重要
13. まとめ:適用宣言書は組織の“セキュリティ指針”
適用宣言書は、組織のリスク状況を可視化し、どの管理策をどう運用していくかを明文化した**“羅針盤”**です。
ISO27001は取得して終わりではなく、継続的に見直すことで情報セキュリティレベルの維持・向上につながります。
経営層や従業員、監査人にとってわかりやすい適用宣言書に仕上げることが、監査の合格はもちろん、実効性の高いISMSの構築につながるでしょう。
この記事が、これからISO27001を取得しようと検討している方や、すでに取得済みで運用改善を目指す方の参考になれば幸いです。適用宣言書を正しく理解し、組織のセキュリティレベルを着実に高めていきましょう。
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている。
Comentarios