セキュリティポリシーの作り方

最近、偶然知り合った他社の情報セキュリティ担当の方から「SmartHRさんの情報セキュリティ基本方針はちょっと変わってますね。うちも改定するときには参考にしたいです！」といううれしいお言葉をいただきました。
情報セキュリティ基本方針は、世の中ではスルーされがちなものではありますが、昨年の夏から秋にかけて試行錯誤してSmartHRの情報セキュリティ基本方針を作り直したときのことを振り返って書いてみました。

１．きっかけ

基本方針を作り直そうと思い立ったのは、些細なことがきっかけでした。
既存の基本方針の中に誤字なのか微妙な表現（公文書等にも使用例はあるが、一般的にはあまり使われないもの）が見つかり、その文言を修正すべきか検討した結果、「条文自体を改定するか」、「いや、それならいっそ全体を作り直したほうがいい」という話になり、最終的には「SmartHR単体ではなく、SmartHRグループ全体のセキュリティポリシーとして作り直そう」というそれなりに壮大なプロジェクトが立ち上がりました。

２．あらためて考えてみる

情報セキュリティ基本方針とはいったい何なのでしょう？　
一般的には、企業のウェブサイトのフッターに置かれているあまりクリックすることのないリンク、仮にクリックしても代表者の名前でセキュリティに関するお題目があるだけ、というイメージかもしれません。

総務省の「国民のためのサイバーセキュリティサイト」の用語辞典によると、情報セキュリティポリシーとは「情報の機密性や完全性、可用性を維持していくために規定する組織の方針や行動指針をまとめたもの」とのこと。「情報の機密性や完全性、可用性を維持」とは情報セキュリティの定義そのものなので、この用語辞典からは、組織のセキュリティの方針を書けばいいという以上のことは読み取れません。（もっともここでいう「情報セキュリティポリシー」とは、「情報セキュリティ基本方針」より広い概念である可能性があることには注意が必要です。）

www.soumu.go.jp

ところでSmartHRは、国際規格であるISO/IEC27001をフレームワークとして情報セキュリティマネジメントシステム（ISMS）を構築し認証を取得しています。そのISO/IEC27001（の国内規格であるJIS Q 27001）には、「方針」について以下のように書かれています。

トップマネジメントは,次の事項を満たす情報セキュリティ方針を確立しなければならない。
a) 組織の目的に対して適切である。
b) 情報セキュリティ目的(6.2 参照)を含むか,又は情報セキュリティ目的の設定のための枠組みを示す。
c) 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
d) ISMS の継続的改善へのコミットメントを含む。

こちらも、何度読み返してみても実際に何を書けばいいのかにはなかなか辿り着けない感じではありますが、フレームワークとはそもそもそういうものだと思ってください。ポジティブに考えれば、フレームワークとは実のところ自由度の高い器のようなものです。中に何を入れるか、どう盛り付けるかはその器を使う人次第です。

ISO/IEC27001の認証を維持するだけなら、上記のa〜dを押さえておくだけで大丈夫ではあるものの、SmartHRのセキュリティユニットの考え方は、認証の取得維持のためだけの形式的な取り組みはしない、取り組む以上は何らかの価値を生み出したい、というものです。

そこで、情報セキュリティ基本方針がどのような価値を生み出すべきなのか、というところを考えてみます。
基本方針は社内外に開示しているものなので、受け手として想定されているのは、お客さま、取引先など社外の人、従業員、役員、株主など社内の人の2通りです。その上で、社内外それぞれに対して何を伝えていきたいかを考慮すると、情報セキュリティ基本方針には、概ね次の2つの機能があるのではないかという考えに至りました。

　1. お客さまなど社外に向けて、自社のセキュリティの取り組みについてアピールし信頼を得ること
　2. 従業員など社内に向けて、自社のセキュリティ戦略の方向性を示し、ルールや計画の基礎になること

この2つの機能がしっかり価値を生み出すには、当たり障りのないメッセージではなく、自組織の事業内容や規模、取り扱う情報などに応じて必須と考えられる継続的な取り組みを網羅し、情報セキュリティ基本方針の受け手が活用できる粒度の具体的な情報を提供することが必要です。

３．自社の状況を確認してみる

昨年秋までのSmartHRの情報セキュリティ基本方針は以下のようなものでした。

情報セキュリティ基本方針

株式会社SmartHRは、ユーザーに安心してサービスを利用してもらうこと、情報の漏洩・紛失・盗難の防止を目標とし、信頼されるサービス開発を目指す。

行動指針

1. 情報資産の機密性、完全性、可用性を確実に保護するために組織的、技術的に適切な対策を講じ、変化する情報技術や新たな脅威に対応する。
2. 全社員に情報セキュリティ教育の実施と方針の周知徹底をはかり、意識の向上・維持に務める。
3. マネジメントシステム及び、情報セキュリティに関する目的を設定し、定期的にレビューし、継続的に改善を実施し、維持する。
4. マネジメントシステムを実行・維持・改善していくために管理責任者に責任と権限を委譲する。

現在のSmartHRのセキュリティユニット目線で読んでみると、ISO/IEC27001の「方針」の定石をきちんと踏み、「ユーザーに安心してサービスを利用してもらうこと」、「信頼されるサービス開発」というお客さまを意識している点は悪くないものの、上述した2つの機能という観点では、もう少し網羅的、具体的なほうがいいなと感じます。また、「情報の漏洩・紛失・盗難の防止」は機密性にフォーカスしており、基本方針に掲げる目標としては少し限定的な印象を受けます。（「1」の条文の中で完全性と可用性にも触れていますが）

この「情報セキュリティ基本方針」はSmartHRのコーポレートサイト等では公開されておらず、お客さまから要望があれば個別に開示するという方針でした。
従業員向けにも、セキュリティ研修でその内容を紹介するなど定期的に周知はしていたものの、業務の中で頻繁に参照されるというような大きな存在感はおそらくなかったというのが実情です。

念のため言っておくと、この情報セキュリティ基本方針の内容が全くダメというわけではありません。企業のISMSは、その企業の事業フェーズなどに合わせて改善していくものです。SmartHRのISMSの運用初期段階では、この情報セキュリティ基本方針で必要十分だったのだと思います。ただ、多くのお客さまにSmartHRのサービスを採用していただけるようになり、社内で働く人も1,000人を超えてグループ会社も複数ある現在の状況には合わなくなってきているということです。

なお、今回の作り直しの発端になったのは、「2」の条文中にある「務める」という単語でした。

４．他社の傾向を調べてみる

実際に基本方針案を書き始める前に、「他社はどうしているんだろう？」ということが少し気になりました。
そこで、SmartHRと近い業種のSaaS系企業を中心に、歴史のある企業、地方自治体なども含めて複数の組織の情報セキュリティ基本方針を調査し、どのようなことに言及しているか、どんな項目があるのかについて比較してみることにしました。（ただし、あくまでも今回作り直すための調査であり、調査対象の組織数は20に満たないこと、業種の偏りがあることから、統計的な意味はほぼありません。）

以下は、言及している組織が多い順に項目を並べたものです。

教育・訓練
情報セキュリティ管理体制・マネジメントシステムの構築運用
機密性・完全性・可用性
法令・契約遵守
PDCA・継続的改善
情報セキュリティ目的
リスクアセスメント
点検・監査
インシデント対応体制
管理責任者の設置
規程・手順・基準の整備
事業継続
委託先・外部要員管理
技術的対策
物理的対策
サイバーセキュリティ対策
懲戒
マネジメントレビュー
安定した経営基盤の維持
安全な商品・サービスの提供
安全なサイバー空間への貢献
システム開発・運用時の対策
個人情報の目的外利用禁止
個人情報への不当な介入の抑止

「教育・訓練」や「情報セキュリティ管理体制・マネジメントシステムの構築運用」のように大部分の組織で言及されているものもあれば、その組織の理念や特色が現れているものもあります。

比較する中で気づいたのは、ベンチャー企業を中心にそっくりの内容のものがかなりの頻度で見つかるということです。企業がISO/IEC27001認証を新規に取得しようとする際、ISOのフレームワークの作法に精通しているセキュリティ人材が社内にいることは稀で、外部のコンサルタントを活用する進め方が一般的です。コンサルタントは、規程など文書のテンプレートを提供してくれるため、同じコンサルタント会社と契約すると、結果としてセキュリティポリシーがほぼ同じものになってしまいます。
ISMSの構築、運用の初期段階は、まずはフレームワークの「型を守る」ことが重要であり、どんな業種にも使い回せるようなテンプレートを活用することもやむを得ない部分があります。しかし、ISO/IEC27001の認証維持だけに留まらず、ISMSの運用により真に自組織のセキュリティを維持向上させようとするなら、汎用的なテンプレートからは脱却すべき時が来ます。（繰り返しになりますが、事業フェーズなどに合わせて改善し続けていくことこそがISMSだからです。）
ちなみに、SmartHRのこれまでの情報セキュリティ基本方針についても、近い業種でとても似た内容の基本方針を公開している会社が見つかりました。

５．実際に作ってみる

2つの機能を中心に、自社の状況、他社の傾向を踏まえ、さらに今回作るものがSmartHRグループ全体のポリシーにもなることを考慮して、基本方針案を執筆していくことにしました。
2つの機能をしっかり意識しつつ、社内、社外の誰にでも読みやすいものにするために

一文が長くなりすぎないようにする
ひとつの条文に複数の項目を詰め込まない
法律ライクな難解過ぎる言い回しはしない

は忘れないようにしました。

項目の網羅性は、ISO/IEC27001の要求事項、管理策などを参考にしながら、リスクアセスメント（リスクの洗い出し、分析、評価等）をベースにして、SmartHRが情報セキュリティの観点で継続的に実施すべき対応を抽出していくことで確保することにします。

最終的に完成した情報セキュリティ基本方針がこちらです。

smarthr.co.jp

ざっと俯瞰しただけでも、以前よりも項目が多めで具体性のあるものになっていることがお分かりいただけるかと思います。
他社の調査では触れているほうが少数派だった「安全な商品・サービスの提供」、「セキュリティ関連情報の収集」の2つの項目も入れることにしました。

まず「安全な商品・サービスの提供」ですが、非常に多くのお客さまから重要な情報をお預かりしているSmartHRのサービスの性質上、安心してお使いいただくために、基本方針では組織体制についてだけでなく「商品・サービス」にも必ず言及しなければならないと考えました。
そして「セキュリティ関連情報の収集」も、アップデートの速いこの時代において適切にリスク対応し続けるために、日々進化する技術、新たな脅威のいずれについても適時に情報を得ることが重要であり、SmartHRにとって外せない項目でした。

さらにこの基本方針は、形式的に代表取締役である芹澤雅人の名前で公開しているのではなく、一部は芹澤自身の手で推敲を重ねたものです。ちゃんと調べたわけではありませんが、代表取締役の名前で基本方針を公開していても、実際に執筆に参加している会社はそう多くはないのではと思います。代表取締役とチャットで気軽に打ち合わせて作成を進められたことは、SmartHRのセキュリティユニットと経営層との距離感の近さが表れたエピソードと言えそうです。

６．最後に

この記事を書くに当たって読み返してみても、今回作成した情報セキュリティ基本方針は、（少しだけ気になりポイントはありつつも）現在のSmartHRで考え得るベストなものに仕上がったという自負があります。もっとも、これで終わりではありません。SmartHRはwell-workingの実現のために急成長を続けるスケールアップ企業であり、セキュリティもまた、とても変化の激しい分野です。この基本方針を戦略の基礎にしつつ、まだまだやりたいことはたくさんあります。

SmartHRではご紹介した情報セキュリティ基本方針の取り組みだけでなく、全社公開で実施するマネジメントレビュー、効果測定までしっかり行うセキュリティ教育など、フレームワークをベースにしつつ独自色のある取り組みを実施し、形骸化しないISMSを目指しています。今後もSmartHRのセキュリティに関心をお持ちいただければ幸いです。

この記事では、話の行きがかり上、なんとなくほぼ一人で作業を進めたように書いてしまっているかもしれませんが、もちろんそんなことはありません。SmartHRのセキュリティユニット全員で検討を重ね、SmartHRグループの多くの方々の協力があって制定、グループ全体への周知までを実現することができました。
この文章の最後に、今回のプロジェクトに関わっていただいたすべての方々に感謝をお伝えしたいと思います。