セキュリティポリシーとは

• 投稿日：2019-02-28　
• 最終更新日：2020-01-17　
• 表示：262PV　
• カテゴリ：Ｗｅｂ記載情報

「セキュリティポリシーという言葉を聞きましたが、プライバシーポリシーの間違いではないのでしょうか？」というご質問をいただいたので、こちらでご紹介します。

ポリシー？

回答

まず、お話をしておかなければならないのが、セキュリティポリシーもプライバシーポリシーもどちらもあります。
ポリシー（Ｐｏｌｉｃｙ）は「政策・方針」という意味の単語です。
このため、「○○ポリシー」は「○○政策」「○○方針」という意味になります。

○○の部分が今回は「セキュリティ」と「プライバシー」になるのです。
プライバシー（Ｐｒｉｖａｃｙ）は、「秘密」という意味があります。
この秘密は、通信など他人に公開したくはない情報も含まれるため、個人情報に限らないです。
しかし、「プライバシーポリシー」という場合は、「個人情報保護方針」と訳されることが多いです。
これは、書かれている内容が個人情報保護法関連の限定されていることが多いためと考えられます。

話がそれました。
本題に戻すと、「セキュリティポリシー」は「セキュリティ方針」となります。

セキュリティポリシーとは？

セキュリティポリシーという場合、次の３種類に分かれます。
厳密には、前２つ「基本方針」と「対策基準」を指す言葉です。

1. セキュリティ基本方針
2. セキュリティ対策基準
3. セキュリティ対策実施手順

セキュリティ基本方針

社外に公表される場合は、この「セキュリティ基本方針」です。
Ｗｅｂなどで公開される場合、この「セキュリティ基本方針」のみを「セキュリティポリシー」と呼びます。
この「基本方針」は、会社全体で一つ作られる文書です。

経営層が会社のセキュリティについて、取組み方針を示すことを目的として、作られます。
公表される文章であるため、社外的なアピールとしても利用されることがあります。
また、基本方針ですから、どちらかというと抽象的な内容となるため、セキュリティ対策について、詳細に記載されることはないです。
対策について書く必要があるのであれば、この後お話をする２つの文書のどちらかに記載します。

会社名というより代表者名（多くの場合は社長名）で公表されます。

セキュリティ対策基準

「セキュリティ基本方針」が会社で一つであることに対し、この「セキュリティ対策基準」は部署ごとなど複数作成されることもあります。
部署ごととあるように、社内向けに作られる文書です。
「対策基準」という名前の示すように「基本方針」をより現実的な内容に書き下したものです。
現実的な内容にするには、業務内容によっても変化しなければならないことがあります。

例えば、人事部と開発部を例にお話をします。

人事部では個人情報を扱います。
個人情報は個人情報保護法で扱い方が決まっている部分もあり、冒頭のご質問にあったプライバシーポリシーの出番です。
こういうと誤解を受けることがあるので、注意喚起の意味でお話をしますが、人事部は個人情報以外の情報も扱うこともあります。
人事関連の情報は（会社によっては公然かもしれませんが）秘密情報であることがほとんどです。
秘密情報である以上、セキュリティ対策基準の対象外になることはないです。

それに対し開発部では、技術情報を扱います。
技術情報の中には、社外に秘密にしている情報もあるでしょう。
社外秘であっても、秘密保持契約などをして協力会社などとは共有していることもあります。

情報の取扱の仕方や社外と共有しているかなど、例でお話しただけでも、違いが出てきます。
このため、一つの「対策基準」でまとめることが難しい場合もあるのです。
難しい場合は、対象部署が定められた複数の「対策基準」が作成されます。

「対策基準」については、「セキュリティ関連規程の記載事項について」でお話をします。
セキュリティ基本方針がＷｅｂなどで公開されるのに対し、セキュリティ対策基準は、社内文書として、公開しないことが多いです。

セキュリティ対策実施手順

少人数の組織でもない限り、担当者が全てセキュリティに詳しいということはないでしょう。
セキュリティに詳しくない人には、「セキュリティ対策基準」だけでは、どうしたらよいのかわからないのです。
このような人のために作成される「どうするかを書いた文章」が、この「セキュリティ対策実施手順」です。
「実施手順」という名前のとおり、業務の詳細な手順を記載します。

手順まで書きますので、一つ注意点があります。
それは、「プライバシーポリシー」などの他の方針との関係です。
「プライバシーポリシー」を策定している会社では、「セキュリティ基本方針」や「セキュリティ実施基準」だけではなく、「プライバシーポリシー」などの「他の方針」にも適合できるように手順を検討する必要があります。

最初にお話をしたように組織によっては、「セキュリティ対策実施手順」が作成されないこともあります。
作成されたとしても、セキュリティ対策基準と同じく、社内文書として、公開しないことが多いです。

文書の世代管理も

セキュリティ関係は、日進月歩で変わっていきます。
それに合わせて、今回お話をしたセキュリティの３文書も更新されていきます。
更新すればおしまいではなく、後から遡れることが必要になることがあります。
例えば、問題が発生した時に、その行為をした時の規定や手順に照らし合わせるとどうか？という調査・検証を行うことがあります。
そのためには、過去の文書が残っていないといけません。
それも、更新日付も必要になってきます。
このような過去の文書管理の方法を「世代管理」と呼びます。
調査・検証のためには、世代管理が必要です。

タグ：個人情報, 組織的対策

広告枠・・・広告やリンク先の保証はしません

参考記事（一部広告含む）

このページの記事についてちょっと質問！