カテゴリー別アーカイブ: 60分セッション

セキュリティ対策に消極的な経営者が問われる責任とは?任せるだけでは守れない法的リスク

「セキュリティはIT担当の仕事」
「詳しくないから外注に任せている」

中小企業の現場でよく聞く言葉です。しかし、ひとたびサイバーインシデントが起きてしまうと、その損失は「ITの範囲」に収まるものではありません

独立行政法人 情報処理推進機構(IPA)の中小企業向け情報セキュリティ対策ガイドラインでも、情報セキュリティ対策を怠ることで企業が被る不利益として、金銭損失・顧客喪失・事業停止・従業員への影響を挙げたうえで、経営者が負う責任として「法的責任」と「関係者や社会に対する責任」を明確に示しています。
つまり、適切なセキュリティ対策は企業経営に必要不可欠な経営課題であり、経営者の意思決定の結果として責任が問われ得る領域だといえます。

この記事では、情報処理安全確保支援士と行政書士のダブル国家資格保有者の視点から、経営者・役員がセキュリティに消極的だった場合に現実化する法的リスクと、任せるだけではない実務を整理します。

なお、自社だけでなく取引先経由でリスクが波及するサプライチェーン攻撃の仕組みについては、こちらの記事で整理しています。 本記事ではその先にある経営者の法的責任に焦点を当てます。

「任務懈怠責任」とは

まず押さえるべき必要があるのは、会社法上の責任です。

会社に対する責任(任務懈怠責任)

会社法は、取締役等が任務を怠ったとき、会社に対して損害賠償責任を負うと定めています。

会社法 423条1項
取締役、会計参与、監査役、執行役又は会計監査人(以下この章において「役員等」という。)は、その任務を怠ったときは、株式会社に対し、これによって生じた損害を賠償する責任を負う。

セキュリティの文脈に置き換えると、たとえば以下のような状態が、「任務を怠った」という評価につながり得ます。

  • 情報セキュリティに対する規定や方針が定められていなかった
  • 既知の重大脆弱性が放置されていた
  • バックアップや復旧計画がなく、ランサム攻撃を受け長期停止した
  • アクセス権限が形骸化し、退職者アカウントが残り続けた
  • 事故を想定した連絡体制・意思決定がなく初動が遅れた

もちろん、セキュリティインシデント発生が直ちに違法になるということではありません。ポイントは、予見可能性(起こり得ることを想像できたか)と、回避可能性(やるべき対策を合理的に取れたか)、そしてその意思決定プロセスが残っているかです。

第三者に対する責任

会社に対する責任とは別に、取締役等が職務で「悪意または重大な過失」があると、第三者に対して損害賠償責任を負う可能性も定められています。

会社法429条1項
役員等がその職務を行うについて悪意又は重大な過失があったときは、当該役員等は、これによって第三者に生じた損害を賠償する責任を負う。

情報漏えい等では、被害者(顧客等)・取引先・株主など、第三者側の損害主張が出てきます。ここで問題になるのが、「重過失」と評価されるほどの著しい注意義務違反があったかどうかです。

「詳しくないから任せた」は免責にならない理由

会社法は、取締役の職務について「忠実義務」を明記しています。
また、会社と役員等の関係は「委任に関する規定に従う」とされ、役員には職務遂行上の注意義務が前提になります。

会社法355条
取締役は、法令及び定款並びに株主総会の決議を遵守し、株式会社のため忠実にその職務を行わなければならない。
会社法330条
株式会社と役員及び会計監査人との関係は、委任に関する規定に従う。

IPAのガイドラインでも、「何をすれば良いか分からないから部下に任せる?」という“ありがちな姿勢”に対して、信用失墜・取引停止・事業停止・損害賠償等の帰結が示唆されています。
経営として問われるのは、「詳しいかどうか」ではなく、統制していたかどうかです。

ガバナンスとしてのセキュリティ

会社法は、取締役会が重要な業務執行の決定を取締役に委任できない事項の一つとして、法令遵守体制その他、業務の適正を確保するために必要な体制(いわゆる内部統制)の整備を挙げています。

会社法362条 4項
取締役会は、次に掲げる事項その他の重要な業務執行の決定を取締役に委任することができない。
1〜5(略)
6 取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務並びに当該株式会社及びその子会社から成る企業集団の業務の適正を確保するために必要なものとして法務省令で定める体制の整備

セキュリティは、まさに「業務の適正」や「法令遵守」に直結します。
つまり、「IT部門の運用課題」ではなく、本来は経営層(取締役会・経営会議)が設計し、継続的にレビューすべき統制です。

IPAのガイドラインにおいても、経営者が認識すべき3原則の1つとして「情報セキュリティ対策は経営者のリーダーシップで進める」ことを挙げています。

個人情報漏えい発生時は法律上の義務対応も

事故対応で経営の責任が問われやすいのは、個人情報漏えいが絡むケースです。

個人情報保護法では、一定の個人情報漏えいが発生した場合は、個人情報保護委員会への報告と本人への通知が義務化(令和4年4月1日から)されており、この報告は「速やか(概ね3~5日以内)」に行うことが求められています。

そのため、この義務への対応が為されなかったり不十分だった場合、次のようなリスクが経営に影響を与えるおそれがあります。

  1. 初動の遅れが”重過失”評価に繋がる
    「把握していたが社内で止まっていた」「外注先から連絡が来ていたが放置した」などは、対外的に説明しづらいです。
  2. “統制がない会社”とみなされる
    報告・通知の体制がないこと自体が、平時の統制不備(=任務懈怠の下地)を疑われます。

経営者がすべきこと

以上のとおり、経営者が情報セキュリティ対策に積極的に取り組んでいない場合、法的な観点だけでなく経営に影響を及ぼす様々なリスクがあることがわかると思います。
だからといって、経営者が“セキュリティに技術的に詳しくなる”必要はありません。
経営者に求められるのは、意思決定と統制の型を持つことです。

経営者が取るべき姿勢

IPAのガイドラインでは、経営者が認識すべき事項として、情報セキュリティ対策は経営者のリーダーシップで進めること、委託先も含めて考慮すること、関係者とコミュニケーションを取ることを「認識すべき3原則」として示しています。

その上で、次のの3点を自社の仕組みとして整えると、セキュリティに関する責任分担が曖昧にならず、判断が止まりにくくなります。

  • 方針(ポリシー):経営としての“基準”を決める
    何を守るのか(例:個人情報、顧客データ、基幹業務)、何を優先するのか(例:止めないこと/漏らさないこと)を言語化
  • 体制(ガバナンス):“誰が決めるか”を固定する
    情報セキュリティ対策責任者(CISO相当)と、最終的に承認する人(経営・取締役)を明確にし、例外や追加投資の判断ルートを決定
  • 報告(モニタリング):“どこまで見える化するか”を決める
    経営が見るべき指標(例:重大脆弱性の残数、バックアップ成功率、インシデント件数)を定め、月次・四半期などの頻度で報告させる

経営ガイドラインも“経営の責務”を明確化

経済産業省がIPAと策定する「サイバーセキュリティ経営ガイドライン」でも、経営者が認識すべき原則や、CISO等に指示すべき事項が整理されています。
改めて、現場任せではなく、「経営者が要求水準を定義して実行を統制する」という考え方が重要になってきます。

経営者・役員向け:最低限の実務チェックリスト

ここでは、経営者や役員・取締役などが任務懈怠リスクを現実的は範囲で下げるための、最低限考慮・実行すべき点をまとめます。
なお、全部を一気にやる必要はありません。大事なのは、決めて、記録して、回し続けることです。

A. ガバナンス(経営の宿題)

  • セキュリティ方針(守る情報・守る水準・優先順位)を明文化
  • 責任者(CISO相当)と承認者(経営)を明確化
  • 月次/四半期で、経営に上がる指標を決める(例:重大脆弱性の残数、バックアップ成功率、訓練実施、インシデント件数)

B. 委託先・サプライチェーン(“丸投げ”対策)

  • 契約で責任分界(誰が何をアップデートするか、ログは誰が持つか)を明確化
  • 委託先の実装状況を確認する仕組み(チェックリスト・報告会)を用意
  • 重要システムは、委託先任せにせず“受入基準”を定める

C. 事故対応(遅れが致命傷になりやすい)

  • 連絡網(法務/広報/顧問/委託先/保険)と意思決定フローを整備
  • 報告・通知の要否判断(個情法等)を誰がやるか決める
  • 机上訓練を年1回でも実施(“初動の型”を作る)

セキュリティは「技術」ではなく「統制」

セキュリティに消極的な経営が危ういのは、「事故が起きるから」だけではありません。
事故が起きたときに、

  • 会社法上の責任(任務懈怠、第三者責任)を説明できない 
  • 法令上の義務(個人情報漏えい時の報告・通知など)に遅れが出る 
  • 結果として、信用失墜・取引停止・損害賠償等が現実化する 

という連鎖が起こるからです。

「詳しくない」ことが悪いのでは無く、弱点になるのは「統制していない」ことです。

また、情報セキュリティに関して本当に困るのは「事故が起きた瞬間」だけではありません。
むしろ平時に、取引先から「セキュリティ対策は?」「チェックシートに答えてほしい」と求められたときに、会社としての答え方が定まっておらず、担当者の勘で回答がブレるという状態が、信用や取引継続のリスクになります。

だからこそ必要なのは、過剰な対策の積み上げではなく、“30分で答えられる状態”を先に作ることです。

  • 取引先に説明する軸(方針・現状・今後)
  • 最優先の3事項(今やること/やらないことの線引き)
  • 取引先対応に使える文書(A4用紙 1枚のサマリ等)

もしこれらの事項が決まっていないと感じるなら、取引先対応・初動整備60分|30分で答えられる状態へで、現状を棚卸しし、社内外で使える形に整理します。

取引先セキュリティチェックシートの頻出質問20選:中小企業の“迷わない書き方”例

取引先から突然届く「セキュリティチェックシート」。
その都度対応するのは面倒に感じるかもしれませんが、ただYes/No で答えればいいと思って回答していると、次のような状況になってしまうリスクがあります。

  • 設問の意図が把握できず、回答が毎回ブレる
  • 「やっています感」を出し過ぎてしまい、後で説明できず詰む
  • 証跡(エビデンス)を求められてやり直し地獄

この記事では、チェックシートで問われることが多い設問20個を「設問意図 → 書き方例 → 証跡例 → NG例」の順で整理し、正確に・早く・ブレずに回答するための参考となるよう、テンプレート的にまとめました。

→セキュリティチェックシート対応の全体像はこちら

※なお、この記事で取り上げるのは一般的な情報です。個別事情で変わりますので、最終判断は必ず自己責任で行ってください。

チェックシートの回答で迷わないための3原則

セキュリティチェックシートの回答で迷わないための3原則

原則1:Yes/Noより「範囲・例外・補足」を書く

チェックシートでの回答を求める側としては、「どれだけできる?」「どこまでが対象?」という点を把握した上でリスク評価を実施するため、単なるYes/Noだけでは十分な判断ができません。
そのため、回答では次のような点をセットで考えます。

  • 対象範囲(拠点/部門/システム/端末/データ種別)
  • 例外(未対応の範囲)
  • 補足(代替策/期限/運用頻度)

原則2:証跡は適切に提示できる形で揃える

「規程があります」という回答だけでは、取引先は“内容・適用範囲・最新版管理・運用実態(証跡)”を判断できません。
そこで、IPA(独立行政法人 情報処理推進機構)が策定した「中小企業の情報セキュリティ対策ガイドライン」を土台に、必要な文書と運用(インシデント対応含む)を整理して、いつでも提示できる形にしておくと差し戻しの低減が期待できます。

原則3:社内でブレない「答え方の軸」を持つ

毎回ゼロから書くというのは回答の遅延などのマイナス要因にもなります。
現状サマリ・優先順位・30日TODO・初動メモをA4 用紙1枚程度にまとめておくと、回答に要する時間を短縮でき、差し戻しの低減も期待できます。

この“1枚化”を60分で作るサービスはこちらから

頻出する質問例20選

チェックシートで問われることが多いことが予想される設問を20個厳選し、その設問の意図や書き方例などをご紹介します。

なお、当然ながら、虚偽の回答や過大な評価は避けてください。後で適切に説明できない回答は、事故の種になりますし、なにより取引先の信用を失います。

使い方:自社の実態に合わせて例文中の〔 〕を埋め、未対応がある場合は「例外+期限 or 代替策」を書きます。

A. 体制・方針(No.1〜5)

1. 情報セキュリティ基本方針はありますか?

  • 意図:会社としての考え方が明文化され、対外説明できるか
  • 書き方例
有(最終改定:YYYY/MM)。適用範囲:全社員・委託先(必要に応じて)。
外部公開:〔Web掲載/会社案内/問い合わせ時提示〕。
  • 証跡例:基本方針PDF、改定履歴、公開方法の証拠
  • NG例:提示できないにもかかわらず「あります」という回答

※SECURITY ACTION の「二つ星」は、基本方針の策定と外部公開を求めており、取引先説明の“最低限の型”として使いやすいです。

2. セキュリティ責任者・窓口は誰ですか?

  • 意図:事故時に「誰が判断・連絡するか」が明確か
  • 書き方例
責任者:〔役職/氏名〕、運用担当:〔役職/氏名〕、連絡窓口:〔窓口メール/電話〕。
不在時代替:〔役職/氏名〕。
  • 証跡例:組織図、役割分担表、インシデント連絡網
  • NG例:「担当者未定」

3. 規程・手順書(パスワード、持出、クラウド利用、テレワーク等)はありますか?

  • 意図:運用が属人化していないか
  • 書き方例
有。対象:〔社員/委託先/対象業務〕。周知:〔入社時/年1回〕。改定:〔年1回/随時〕。
  • 証跡例:規程、周知記録、教育記録
  • 補足:中小企業向けの実践手順はIPAのガイドラインが整理しています。

4. リスク評価(リスク分析)をしていますか?

  • 意図:“全部やる”のではなく、重要度で意思決定できているか
  • 書き方例
年〔1〕回、重要業務・重要データ・外部委託・クラウド利用を観点に棚卸しを行い、優先順位を決定。
  • 証跡例:棚卸しシート、対策優先順位表
  • NG例:「リスク評価=しているつもり(資料なし)」

5. 外部認証(ISO/ISMS等)は取得していますか?

  • 意図:第三者保証の有無(ない場合は代替の説明ができるか)
  • 書き方例
未取得。代替として:基本方針、アクセス管理、バックアップ、教育、インシデント対応を整備(証跡提示可)。
  • 証跡例:方針・手順・教育・ログ・バックアップ設定
  • NG例:「取得予定なので取得済み相当」

B. 情報資産・データ管理(No.6〜9)

6. 取り扱う情報(機密/個人情報)の種類と保管場所は把握していますか?

  • 意図:どこに何があるか分からない状態を排除
  • 書き方例
把握済。対象:〔顧客情報/契約情報/設計データ等〕、保管先:〔SaaS名/サーバ/PC/紙〕、管理責任:〔担当〕。
  • 証跡例:情報資産台帳、データフロー図(簡易でOK)
  • NG例:「把握している(口頭のみ、根拠がないなど)」

7. データ分類(機密区分)と取り扱いルールはありますか?

  • 意図:共有・持出の判断が人によって変わらないか
  • 書き方例
区分:〔公開/社外秘/機密〕。取扱い:〔共有先制限/持出申請/保存期限〕を規程化。
  • 証跡例:区分表、規程
  • NG例:「機密かどうかは各自判断」

8. 保存期間・削除(契約終了時含む)のルールは?

  • 意図:不要データを抱え続けて漏えいリスクを増やしていないか
  • 書き方例
保存期間:〔法令/契約/業務必要性〕に基づき設定。契約終了時:〔削除/返却〕手順あり、作業記録を残す。
  • 証跡例:削除手順、作業記録、監査ログ
  • NG例:「期限は特にない」

9. 暗号化(通信/保存)をしていますか?

  • 意図:盗聴・端末紛失時の被害最小化
  • 書き方例
通信:TLS等で暗号化。保存:〔端末ディスク暗号化/クラウド側暗号化〕。対象範囲:〔全端末/一部〕。
  • 証跡例:端末暗号化設定、クラウド設定画面
  • NG例:「暗号化してると思う」「各自の判断に任せる」

C. アカウント・権限(No.10〜14)

10. パスワードポリシーはありますか?

  • 意図:弱いパスワード・使い回し・共有の抑止
  • 書き方例
長さ〔N〕以上、使い回し禁止、共有禁止。漏えい疑い時は即変更。管理は〔PW管理ツール/手順〕に従う。
  • 証跡例:規程、管理ツールの運用ルール
  • NG例:「強いパスワードにしてます」

11. 多要素認証(MFA)を使っていますか?

  • 意図:不正ログイン耐性の担保
  • 書き方例
対象:管理者/メール/顧客情報にアクセスするSaaSはMFA必須。未対応範囲:〔 〕、期限:YYYY/MM。
  • 証跡例:SaaSごとのMFA強制設定、対象一覧
  • NG例:「MFAは任意」

12. 管理者アカウントの扱い(共有禁止・分離)は?

  • 意図:操作追跡(誰がやったか)と誤操作防止
  • 書き方例
管理者IDは個人別。通常業務用IDと分離。昇格は〔申請→承認→実施→記録〕。
  • 証跡例:ID一覧、申請記録
  • NG例:「adminを皆で共有」

13. 入退社・異動時の権限管理(付与/変更/削除)手順は?

  • 意図:退職者アカウント放置の防止
  • 書き方例
入社:必要最小権限で付与。異動:職務に合わせ変更。退職:当日〔停止/削除〕。月〔1〕回棚卸。
  • 証跡例:人事連携フロー、棚卸記録
  • NG例:「退職後も残っていた」「削除ルールがない」

14. ログ(誰がいつ何をしたか)を取得していますか?

  • 意図:インシデント時に調査可能か
  • 書き方例
対象:〔主要SaaS/サーバ/FW等〕。保持期間:〔N日/月〕。閲覧権限:〔限定〕。監視:〔アラート設定〕。
  • 証跡例:ログ設定画面、保持期間設定
  • NG例:「ログは取ってない」

D. 端末・システム運用(No.15〜17)

15. OS/ソフト更新(パッチ適用)はどう管理していますか?

  • 意図:既知脆弱性の放置リスクを下げる
  • 書き方例
原則自動更新。例外(業務アプリ等)は〔事前検証→計画適用〕。適用状況を〔月1回〕確認。
  • 証跡例:更新ポリシー、適用状況レポート
  • NG例:「各自に任せている」

16. マルウェア対策(アンチウイルスソフト(AV)/EDR等)をしていますか?

  • 意図:検知と初動を止めない仕組みがあるか
  • 書き方例
全端末に〔AV/EDR〕導入。検知時は〔隔離→連絡→記録〕の手順で対応。
  • 証跡例:導入台数、検知時手順
  • NG例:「無料ソフト入れてるので大丈夫」

17. 端末紛失・持出・テレワークの対策は?

  • 意図:紛失・盗難時の漏えいを最小化
  • 書き方例
端末は暗号化+画面ロック。持出は〔申請/台帳〕。紛失時は〔連絡→遠隔ロック/ワイプ可否〕を定義。
  • 証跡例:MDM設定、台帳、手順書
  • NG例:「USBで持ち歩く」

E. バックアップ・事業継続(18〜19)

18. バックアップは取得していますか?復元テストは?

  • 意図:ランサム等の事故発生時にデータ復旧できるか
    (IPAが公表する「情報セキュリティ10大脅威」でもランサム攻撃は上位常連です)
  • 書き方例
頻度:〔毎日〕、保管:〔世代管理/分離保管〕。復元テスト:〔四半期/年1回〕実施、実施日:YYYY/MM。
  • 証跡例:バックアップ設定、復元テスト記録
  • NG例:「バックアップはある(復元未確認)」

19. 重要業務の復旧目標(RTO/RPO)や代替手段は?

  • 意図:止められる時間と優先順位が決まっているか
  • 書き方例
重要業務〔A/B/C〕ごとに、許容停止時間〔 〕、代替手段〔手作業/別手段〕を定義。
  • 証跡例:業務継続メモ(簡易でOK)
  • NG例:「止まったら考える」

F. インシデント対応・委託先(No.20)

20. インシデント対応手順と連絡体制はありますか?(初動・証拠保全・報告)

  • 意図:最初の判断ミス(証拠消失・連絡遅延)を防げるか
  • 書き方例
初動:①隔離 ②連絡(社内/取引先/専門家)③記録(時系列/判断/証拠)。
判断:外部専門家・警察・保険等の相談基準を定義。再発防止:原因分析→対策→周知。
  • 証跡例:初動チェックリスト、連絡網、記録テンプレ
  • 根拠(考え方):NIST(米国国立標準技術研究所) は、サイバーリスク管理の中でのインシデント対応推奨事項をまとめたガイド(SP 800-61 Rev.3)を公表しています。
  • 個人データが絡む場合の注意:一定の条件に該当する漏えい等は報告・通知が求められます。該当要件の整理は個人情報保護委員会の公式説明を参照するか専門家にご相談ください。

差し戻しを減らす「提出前チェック」5つ

提出前チェック
  1. 事実と一致しているか(推測・願望が混ざってないか)
  2. 対象範囲が書けているか(全社/一部/例外)
  3. 運用頻度が書けているか(いつ・誰が・どれくらい)
  4. 証跡が出せるか(規程・設定・記録)
  5. 委託先・サプライチェーン観点が抜けていないか

委託先やサプライチェーンに関する事項は近年特に重視され、IPAの「情報セキュリティ10大脅威」でもランサム攻撃に次いで上位に挙げられています。

その背景については「サプライチェーン攻撃とは?」 をご覧ください。

まとめ:チェックシート対応は「回答作業」より先に「軸」を作る

チェックシートは、設問に都度対応するよりも、先に

  • 現状(できている/できていない)
  • 最優先の対策(全部やらない)
  • 初動の型(最初の30分)

をまとめて自社セキュリティ情報として準備しておく方が、圧倒的に速く・正確になります。
もし「それを最短で作りたい」なら、初動整備を60分で落とし込む支援を提供していますので、ぜひご利用ください。

60分セッションの詳細はこちら

【中小企業向け】セキュリティチェックシート対応手順|取引先への回答の書き方と例

取引先から突然「セキュリティチェックシート(質問票)」が届き、何をどう答えればよいか分からない——。IT専任者がいない中小企業でも、差し戻しを減らし、期限内に“説明できる回答”を作るための実務手順をまとめました。
※なお、本記事は一般的な観点での整理です。取引ごとにその条件や契約・法務判断が異なりますので、取引先や専門家への確認も重要です。

満点を狙うより「説明できる状態」が重要

セキュリティチェックシートは、テストの点数を競うものではありません。多くの場合、取引先が見ているのは次の3点です。

  • 方針:どういう考え方でセキュリティを運用しているか
  • 現状:今できていること/できていないことが何か
  • 今後:できていないことを、どう改善していくか(優先順位と予定)

この「方針・現状・今後」の筋が通っていれば、専任者がいない体制でも信頼される回答は作れます。

→セキュリティチェックシート対応の全体像はこちら

最初に取引先へ確認する5項目

チェックシートを開いたら、回答作業に入る前に“前提”を合わせます。ここを飛ばすと、後から手戻りが起きやすいです。

  1. 対象範囲:どの業務/システム/拠点が対象か(全社?特定プロジェクト?)
  2. 提出期限・形式:期限、Excel/Webフォーム、記入方法、言語、ファイル名ルール
  3. 不明項目の扱い:空欄はNGか、非該当でよいか、コメント必須か
  4. 証跡添付の要否:ポリシー文書、手順書、ログ、契約書の添付が必要か
  5. 質問窓口:不明点は誰に確認するのが正しいか

ポイントは「聞くのは恥」ではなく「前提を合わせるのがプロ」。取引先側も、誤解した回答より確認の方が歓迎されます。

セキュリティチェックシートとは?なぜ送られてくる?

そもそもセキュリティチェックシートは何のために利用されているのでしょうか。

セキュリティチェックシートは、取引先が委託先のセキュリティ管理状況を確認するための質問票です。背景には、委託先やサプライチェーンを経由した事故が増え、取引先側が「委託先管理」を求められるようになった事情があります。

また、個人情報保護法上も、委託元は委託先を監督する必要があるため、その監督の一環としての役割も期待されています。

情報処理推進機構(IPA)も中小企業向け情報セキュリティガイドラインにおいて「経営者が認識すべき3原則」の1つとして「委託先の情報セキュリティ対策まで考慮する」ことを挙げており、こういった点からも、取引先のセキュリティ状況を把握するということは現代の会社経営において必要不可欠なものだといえます。

チェックシートの目的はだいたい次のいずれか、または複合です。

  • 取引可否・条件の判断材料
  • 委託先管理の証跡(やりっぱなしを防ぐ)
  • 事故時の連絡・責任範囲を明確にするため

「回答しないと取引に影響する可能性がある」のは事実ですが、同時に「分からない項目を正直に書いたら即NG」という話でもないことが多いです。

大切なのは、分からない・未対応を放置せず、説明できる形に整えることです。

種類と難易度:簡易/標準/詳細

チェックシートは、取引先ごとに形式が違いますが、難易度はおおむね3段階に分けられると思います。

簡易版(10〜20問程度)

  • 目的:最低限の有無確認(ウイルス対策、バックアップ、教育など)
  • 対応難易度:★☆☆
  • 例:「ウイルス対策ソフトを導入していますか?」

標準版(30〜50問程度)

  • 目的:体制やルール、運用の有無まで確認
  • 対応難易度:★★☆
  • 例:「情報セキュリティポリシーを策定していますか?」

詳細版(50問以上/ハイレベル)

  • 目的:手順・証跡・運用の粒度まで確認
  • 対応難易度:★★★
  • 例:「アクセス権限の付与・変更・削除手順は文書化されていますか?」

中小企業の場合、自社のリソースが限られていることが多いため、重要なのは「全部を一気に完璧にする」ではなく、回答の筋を通し、優先順位をつけて改善していく姿勢を示すことです。

セキュリティチェックシート対応を勧める5ステップ

セキュリティチェックシートへの対応については、次の5ステップで進めることがお勧めです。

ステップ1:項目を分類する

まず全ての項目に目を通し、次の4つに分けます。

  • 即答できる:現状が明確、証跡もある
  • 調べれば答えられる:担当や設定確認が必要
  • 不明:社内で把握できていない
  • 非該当:そもそも対象外(理由を添える)

この分類をすると、「どこが詰まっているか」が一気に見えます。俯瞰してみるところから始めて、最初から埋め始めないのがコツです。

ステップ2:社内の現状を棚卸しする

ITやセキュリティの専任者がいない会社でも、まずは「自社における事実」を集めます。以下は優先度が高いです。

  • 利用しているクラウドサービス(例:メール、チャット、ファイル共有、会計、勤怠)
  • 端末の種類と台数(PC、スマホ、共有端末の有無)
  • アカウントの管理者(管理者権限の数、退職者アカウントの扱い)
  • ウイルス対策(何を、どの端末に、どう更新しているか)
  • テレワークの可否、可能な場合はそのルール
  • バックアップ(対象、頻度、保存先、復元できるか)
  • 外部委託先(保守、制作、開発、BPO、再委託の有無)

ここでは結論を求めるのではなく、あくまで今後の作業のための素材を集めるためのステップであることを意識してください。

ステップ3:回答の軸を決める

素材が集まりましたが、ここからが重要です。回答の原則を、社内で先に決めます。

  • できていること:範囲と運用頻度を具体的に書く
    例:「全社PCに導入」「定義ファイルは自動更新」「月1回棚卸し」
  • できていないこと:正直に書き、改善予定を添える
    例:「一部未対応だが、○月までに全台適用予定」「手順は未文書化だが、○月に整備」
  • “言い回し”を統一する:担当者の主観でブレないようにする

もしここで「方針が決められない」「優先順位がつけられない」「そもそも現状が整理できない」と感じたら、無理に一人で抱え込む必要はありません。
短時間で“会社としての答え”を整えるための選択肢として、60分で整理する支援もあります。

60分セッションの詳細はこちら

ステップ4:回答を書く

チェックシートの回答は、Yes/No で回答できる項目だけでなく、文章での回答を求められる項目もあります。このような文章での回答の際には、自由な作文ではなく、以下の点を踏まえた「監査に耐えるメモ」を作成することを意識すると、取引先にも伝わりやすいです。

  • 長文より、短文+数字+条件が強い
  • 「適宜」「必要に応じて」「検討中」など曖昧語は避ける
  • 可能なら、根拠(ポリシー、設定画面、手順書、運用記録)に紐づける

ステップ5:共有・記録する

求められた項目すべての回答が終わりましたが、提出して完了にするのではなく、最低限これだけ残します。

  • 今回の回答(提出したExcel/フォームのコピー)
  • 根拠にした資料(ポリシー、手順、設定のスクリーンショット等)
  • 未対応項目と改善予定(誰が、いつまでに、何を)

これがあるだけで、次回の対応に活用でき、手間や工数の削減につながります。

頻出項目別:回答の書き方と例

以下は、差し戻しが出やすい頻出項目です。ポイントは「〇か×か」よりも、範囲・頻度・責任者・改善予定を短く入れることです。

体制:責任者・連絡体制

質問例:情報セキュリティ責任者は任命されていますか?

  • 〇の例:
    「情報セキュリティ責任者:総務部長(兼任)。インシデント時は責任者→代表取締役へ報告。」
  • ×(未整備)の例:
    「専任任命は未実施。現状は総務部長が窓口。2026年○月までに正式任命と連絡体制を文書化予定。」

ポイント:専任でなくてもよいので「誰が責任を持つか」を明確にします。

技術:ウイルス対策・端末管理・MFA

質問例:全端末にウイルス対策ソフトを導入していますか?

  • 〇の例:
    「社内PC全台に導入。定義ファイルは自動更新。月1回の適用状況確認を実施。」
  • △(一部未対応)の例:
    「PC10台中8台導入済。残り2台は2026年○月までに適用予定。適用状況は月1回確認。」

ポイント:「全台か」「更新は誰がどう担保するか」を一言入れると強いです。

バックアップ:頻度・保存先・復元

質問例:データのバックアップは定期的に実施していますか?

  • 〇の例:
    「対象:業務共有フォルダ。週1回バックアップ。保存先:クラウド+外部媒体。四半期に1回、復元確認を実施。」
  • ×(未整備)の例:
    「現状は個別運用で不定期。2026年○月から週1回の自動バックアップを構築予定。復元手順も併せて整備予定。」

ポイント:可能なら「復元できるか(復元確認)」に触れてください。バックアップは“取っている”だけでは弱いです。

規程・ルール:情報セキュリティポリシー

質問例:情報セキュリティポリシーを策定していますか?

  • 〇の例:
    「基本方針を策定済(最終更新:2026年○月)。従業員へ周知(入社時+年1回)。」
  • ×の例:
    「体系的な規程は未整備。まず基本方針(A4 1枚相当)を2026年○月までに策定し、運用メモを整備予定。」

ポイント:大企業並みの分厚い規程がなくても、「基本方針+運用メモ」で説明可能な状態を作れます。

教育:実施内容と記録

質問例:従業員へのセキュリティ教育を実施していますか?

  • 〇の例:
    「年1回、全従業員向けに教育(標的型メール、パスワード、持ち出し、誤送信)。受講記録を保存。」
  • △の例:
    「入社時に注意事項を説明。定期教育は未実施のため、2026年○月に年1回の教育を開始予定。」

ポイント:「実施している」だけでなく「頻度」「記録」を入れると評価されやすいです。

インシデント対応:連絡・記録・初動

質問例:セキュリティ事故発生時の連絡体制は整備されていますか?

  • 〇の例:
    「緊急連絡網あり(責任者→経営→取引先窓口)。発生時は記録(いつ・何が・影響範囲)を残し、端末は隔離を優先。」
  • ×の例:
    「連絡体制は作成中。2026年○月までに連絡順と初動手順(記録・隔離・相談先)を整備予定。」

ポイント:「誰に」「何を」「どの順番で」。この3点が書ければ最低ラインはクリアしやすいです。

差し戻しが増えるNG例と直し方

NG1:曖昧な表現

  • NG:「適宜対応しています」「検討中です」
  • OK:「月1回確認」「2026年○月までに実施予定」「対象:全社PC」

直し方:頻度・期限・対象範囲・担当を1つ足すだけで強くなります。

NG2:実態以上に良く見せる

実態と違う回答は、後で必ず矛盾が出ます。事故が起きたときに最も不利になります。未対応は未対応として書き、改善予定で信頼を作る方が合理的です。

NG3:「たぶん」「やっていると思う」で回答する

チェックシートは“説明責任”の書類です。不明なら確認する、確認できないなら「不明」と書き、改善の段取りを示す方が安全です。

NG4:用語を誤解して答える

「暗号化」「ファイアウォール」「MFA」「ログ」など、言葉の定義で事故が起きます。分からない用語は、取引先に確認して構いません。

3分セルフ診断:専門家とともに考えた方が早いケース

次に当てはまる場合、内部で悩む時間が高くつくことが多いです。

  • 「不明」「未対応」が全体の3割以上ある
  • 期限が短く、社内調査だけで手一杯
  • 回答が契約条件や取引継続に影響しそう
  • 「方針・現状・今後」を会社として一本化できない
  • インシデント時の連絡順・初動が即答できない

短時間で「会社としての答え」と「優先順位」を固めたい場合は、60分で整理する支援が向きます。

60分セッションはこちら

一度きりで終わらせない:次回がラクになる3つの整備

新たな取引先が増えるたびに、セキュリティチェックシートへの対応が必要になる場合もあります。次回以降の作業コストを軽減するために、以下の事項に対応することをお勧めいたします。

  1. 社内向けの回答テンプレ
    よく聞かれる設問への回答を、自社の言い回しで固定する
  2. 基本方針+運用メモ
    A4用紙1枚程度でも良いので「決めていること」「やっていること」「例外」を短く残す
  3. 年1回の見直し
    人・端末・クラウド・委託先は変わるため、更新前提にする

FAQ

Q1. 全部答えられないと取引停止になりますか?

基本的にはケースバイケースですが、重要なのは正直に不明・未対応を明示して改善予定を示すことです。取引先は“リスクを理解した上で管理しているか”を見ていることが多いため、空欄で出すことは避けるべきです。

Q2. 非該当の場合はどう書けばいいですか?

「非該当」とだけ書くより、理由を一言添えるのが安全です。
例:「当社は開発業務がないため非該当」「対象システムが存在しないため非該当」。

Q3. 未対応を正直に書くと不利になりませんか?

未対応だということ自体より、未対応を放置していることが不利になりやすいです。「現状」と「改善予定(優先順位)」をセットで書く方が、長期的に信頼されやすいといえます。

Q4. ISMSがないと取引できないのでしょうか?

取引先の方針次第ですが、特に中小企業の取引で、取り扱う情報の機密レベルがそれほど高くない場合はISMSまでは求められないケースが多いように感じます。また「ISMSがない=即NG」ではなく、代替として運用実態や証跡で判断される場合もありますので、条件が曖昧なら、早めに取引先へ確認することが大切です。

Q5. 差し戻しが多いのですが、どこを直すべき?

多くの場合、次のいずれかに該当すると考えられます。

  • 曖昧語が多い(頻度・期限・範囲がない)
  • 体制が見えない(責任者が不明)
  • “できていない”のに改善予定がない

もし心当たりがある場合は、まずはこの3点から直すと改善しやすいです。

まとめ:セキュリティチェックシート対応は「説明できる状態」を作る作業

  • セキュリティチェックシートは、満点より「説明責任」
  • 5ステップ(分類→棚卸し→回答の軸→記入→共有)で進める
  • 未対応は隠さず、改善予定とセットで信頼を作る
  • 次回のために、回答テンプレと基本方針を残す

「自社に合った回答の軸が定まらない」「優先順位が決められない」「短時間で形にしたい」場合は、専門家とともに60分で一緒に整理するのがお勧めです。

60分セッションの詳細はこちら