取引先セキュリティチェックシートの頻出質問20選:中小企業の“迷わない書き方”例

取引先から突然届く「セキュリティチェックシート」。
その都度対応するのは面倒に感じるかもしれませんが、ただYes/No で答えればいいと思って回答していると、次のような状況になってしまうリスクがあります。

  • 設問の意図が把握できず、回答が毎回ブレる
  • 「やっています感」を出し過ぎてしまい、後で説明できず詰む
  • 証跡(エビデンス)を求められてやり直し地獄

この記事では、チェックシートで問われることが多い設問20個を「設問意図 → 書き方例 → 証跡例 → NG例」の順で整理し、正確に・早く・ブレずに回答するための参考となるよう、テンプレート的にまとめました。

※なお、この記事で取り上げるのは一般的な情報です。個別事情で変わりますので、最終判断は必ず自己責任で行ってください。

チェックシートの回答で迷わないための3原則

セキュリティチェックシートの回答で迷わないための3原則

原則1:Yes/Noより「範囲・例外・補足」を書く

チェックシートでの回答を求める側としては、「どれだけできる?」「どこまでが対象?」という点を把握した上でリスク評価を実施するため、単なるYes/Noだけでは十分な判断ができません。
そのため、回答では次のような点をセットで考えます。

  • 対象範囲(拠点/部門/システム/端末/データ種別)
  • 例外(未対応の範囲)
  • 補足(代替策/期限/運用頻度)

原則2:証跡は適切に提示できる形で揃える

「規程があります」という回答だけでは、取引先は“内容・適用範囲・最新版管理・運用実態(証跡)”を判断できません。
そこで、IPA(独立行政法人 情報処理推進機構)が策定した「中小企業の情報セキュリティ対策ガイドライン」を土台に、必要な文書と運用(インシデント対応含む)を整理して、いつでも提示できる形にしておくと差し戻しの低減が期待できます。

原則3:社内でブレない「答え方の軸」を持つ

毎回ゼロから書くというのは回答の遅延などのマイナス要因にもなります。
現状サマリ・優先順位・30日TODO・初動メモをA4 用紙1枚程度にまとめておくと、回答に要する時間を短縮でき、差し戻しの低減も期待できます。

この“1枚化”を60分で作るサービスはこちらから

頻出する質問例20選

チェックシートで問われることが多いことが予想される設問を20個厳選し、その設問の意図や書き方例などをご紹介します。

なお、当然ながら、虚偽の回答や過大な評価は避けてください。後で適切に説明できない回答は、事故の種になりますし、なにより取引先の信用を失います。

使い方:自社の実態に合わせて例文中の〔 〕を埋め、未対応がある場合は「例外+期限 or 代替策」を書きます。

A. 体制・方針(No.1〜5)

1. 情報セキュリティ基本方針はありますか?

  • 意図:会社としての考え方が明文化され、対外説明できるか
  • 書き方例
有(最終改定:YYYY/MM)。適用範囲:全社員・委託先(必要に応じて)。
外部公開:〔Web掲載/会社案内/問い合わせ時提示〕。
  • 証跡例:基本方針PDF、改定履歴、公開方法の証拠
  • NG例:提示できないにもかかわらず「あります」という回答

※SECURITY ACTION の「二つ星」は、基本方針の策定と外部公開を求めており、取引先説明の“最低限の型”として使いやすいです。

2. セキュリティ責任者・窓口は誰ですか?

  • 意図:事故時に「誰が判断・連絡するか」が明確か
  • 書き方例
責任者:〔役職/氏名〕、運用担当:〔役職/氏名〕、連絡窓口:〔窓口メール/電話〕。
不在時代替:〔役職/氏名〕。
  • 証跡例:組織図、役割分担表、インシデント連絡網
  • NG例:「担当者未定」

3. 規程・手順書(パスワード、持出、クラウド利用、テレワーク等)はありますか?

  • 意図:運用が属人化していないか
  • 書き方例
有。対象:〔社員/委託先/対象業務〕。周知:〔入社時/年1回〕。改定:〔年1回/随時〕。
  • 証跡例:規程、周知記録、教育記録
  • 補足:中小企業向けの実践手順はIPAのガイドラインが整理しています。

4. リスク評価(リスク分析)をしていますか?

  • 意図:“全部やる”のではなく、重要度で意思決定できているか
  • 書き方例
年〔1〕回、重要業務・重要データ・外部委託・クラウド利用を観点に棚卸しを行い、優先順位を決定。
  • 証跡例:棚卸しシート、対策優先順位表
  • NG例:「リスク評価=しているつもり(資料なし)」

5. 外部認証(ISO/ISMS等)は取得していますか?

  • 意図:第三者保証の有無(ない場合は代替の説明ができるか)
  • 書き方例
未取得。代替として:基本方針、アクセス管理、バックアップ、教育、インシデント対応を整備(証跡提示可)。
  • 証跡例:方針・手順・教育・ログ・バックアップ設定
  • NG例:「取得予定なので取得済み相当」

B. 情報資産・データ管理(No.6〜9)

6. 取り扱う情報(機密/個人情報)の種類と保管場所は把握していますか?

  • 意図:どこに何があるか分からない状態を排除
  • 書き方例
把握済。対象:〔顧客情報/契約情報/設計データ等〕、保管先:〔SaaS名/サーバ/PC/紙〕、管理責任:〔担当〕。
  • 証跡例:情報資産台帳、データフロー図(簡易でOK)
  • NG例:「把握している(口頭のみ、根拠がないなど)」

7. データ分類(機密区分)と取り扱いルールはありますか?

  • 意図:共有・持出の判断が人によって変わらないか
  • 書き方例
区分:〔公開/社外秘/機密〕。取扱い:〔共有先制限/持出申請/保存期限〕を規程化。
  • 証跡例:区分表、規程
  • NG例:「機密かどうかは各自判断」

8. 保存期間・削除(契約終了時含む)のルールは?

  • 意図:不要データを抱え続けて漏えいリスクを増やしていないか
  • 書き方例
保存期間:〔法令/契約/業務必要性〕に基づき設定。契約終了時:〔削除/返却〕手順あり、作業記録を残す。
  • 証跡例:削除手順、作業記録、監査ログ
  • NG例:「期限は特にない」

9. 暗号化(通信/保存)をしていますか?

  • 意図:盗聴・端末紛失時の被害最小化
  • 書き方例
通信:TLS等で暗号化。保存:〔端末ディスク暗号化/クラウド側暗号化〕。対象範囲:〔全端末/一部〕。
  • 証跡例:端末暗号化設定、クラウド設定画面
  • NG例:「暗号化してると思う」「各自の判断に任せる」

C. アカウント・権限(No.10〜14)

10. パスワードポリシーはありますか?

  • 意図:弱いパスワード・使い回し・共有の抑止
  • 書き方例
長さ〔N〕以上、使い回し禁止、共有禁止。漏えい疑い時は即変更。管理は〔PW管理ツール/手順〕に従う。
  • 証跡例:規程、管理ツールの運用ルール
  • NG例:「強いパスワードにしてます」

11. 多要素認証(MFA)を使っていますか?

  • 意図:不正ログイン耐性の担保
  • 書き方例
対象:管理者/メール/顧客情報にアクセスするSaaSはMFA必須。未対応範囲:〔 〕、期限:YYYY/MM。
  • 証跡例:SaaSごとのMFA強制設定、対象一覧
  • NG例:「MFAは任意」

12. 管理者アカウントの扱い(共有禁止・分離)は?

  • 意図:操作追跡(誰がやったか)と誤操作防止
  • 書き方例
管理者IDは個人別。通常業務用IDと分離。昇格は〔申請→承認→実施→記録〕。
  • 証跡例:ID一覧、申請記録
  • NG例:「adminを皆で共有」

13. 入退社・異動時の権限管理(付与/変更/削除)手順は?

  • 意図:退職者アカウント放置の防止
  • 書き方例
入社:必要最小権限で付与。異動:職務に合わせ変更。退職:当日〔停止/削除〕。月〔1〕回棚卸。
  • 証跡例:人事連携フロー、棚卸記録
  • NG例:「退職後も残っていた」「削除ルールがない」

14. ログ(誰がいつ何をしたか)を取得していますか?

  • 意図:インシデント時に調査可能か
  • 書き方例
対象:〔主要SaaS/サーバ/FW等〕。保持期間:〔N日/月〕。閲覧権限:〔限定〕。監視:〔アラート設定〕。
  • 証跡例:ログ設定画面、保持期間設定
  • NG例:「ログは取ってない」

D. 端末・システム運用(No.15〜17)

15. OS/ソフト更新(パッチ適用)はどう管理していますか?

  • 意図:既知脆弱性の放置リスクを下げる
  • 書き方例
原則自動更新。例外(業務アプリ等)は〔事前検証→計画適用〕。適用状況を〔月1回〕確認。
  • 証跡例:更新ポリシー、適用状況レポート
  • NG例:「各自に任せている」

16. マルウェア対策(アンチウイルスソフト(AV)/EDR等)をしていますか?

  • 意図:検知と初動を止めない仕組みがあるか
  • 書き方例
全端末に〔AV/EDR〕導入。検知時は〔隔離→連絡→記録〕の手順で対応。
  • 証跡例:導入台数、検知時手順
  • NG例:「無料ソフト入れてるので大丈夫」

17. 端末紛失・持出・テレワークの対策は?

  • 意図:紛失・盗難時の漏えいを最小化
  • 書き方例
端末は暗号化+画面ロック。持出は〔申請/台帳〕。紛失時は〔連絡→遠隔ロック/ワイプ可否〕を定義。
  • 証跡例:MDM設定、台帳、手順書
  • NG例:「USBで持ち歩く」

E. バックアップ・事業継続(18〜19)

18. バックアップは取得していますか?復元テストは?

  • 意図:ランサム等の事故発生時にデータ復旧できるか
    (IPAが公表する「情報セキュリティ10大脅威」でもランサム攻撃は上位常連です)
  • 書き方例
頻度:〔毎日〕、保管:〔世代管理/分離保管〕。復元テスト:〔四半期/年1回〕実施、実施日:YYYY/MM。
  • 証跡例:バックアップ設定、復元テスト記録
  • NG例:「バックアップはある(復元未確認)」

19. 重要業務の復旧目標(RTO/RPO)や代替手段は?

  • 意図:止められる時間と優先順位が決まっているか
  • 書き方例
重要業務〔A/B/C〕ごとに、許容停止時間〔 〕、代替手段〔手作業/別手段〕を定義。
  • 証跡例:業務継続メモ(簡易でOK)
  • NG例:「止まったら考える」

F. インシデント対応・委託先(No.20)

20. インシデント対応手順と連絡体制はありますか?(初動・証拠保全・報告)

  • 意図:最初の判断ミス(証拠消失・連絡遅延)を防げるか
  • 書き方例
初動:①隔離 ②連絡(社内/取引先/専門家)③記録(時系列/判断/証拠)。
判断:外部専門家・警察・保険等の相談基準を定義。再発防止:原因分析→対策→周知。
  • 証跡例:初動チェックリスト、連絡網、記録テンプレ
  • 根拠(考え方):NIST(米国国立標準技術研究所) は、サイバーリスク管理の中でのインシデント対応推奨事項をまとめたガイド(SP 800-61 Rev.3)を公表しています。
  • 個人データが絡む場合の注意:一定の条件に該当する漏えい等は報告・通知が求められます。該当要件の整理は個人情報保護委員会の公式説明を参照するか専門家にご相談ください。

差し戻しを減らす「提出前チェック」5つ

提出前チェック
  1. 事実と一致しているか(推測・願望が混ざってないか)
  2. 対象範囲が書けているか(全社/一部/例外)
  3. 運用頻度が書けているか(いつ・誰が・どれくらい)
  4. 証跡が出せるか(規程・設定・記録)
  5. 委託先・サプライチェーン観点が抜けていないか

委託先やサプライチェーンに関する事項は近年特に重視され、IPAの「情報セキュリティ10大脅威」でもランサム攻撃に次いで上位に挙げられています。

まとめ:チェックシート対応は「回答作業」より先に「軸」を作る

チェックシートは、設問に都度対応するよりも、先に

  • 現状(できている/できていない)
  • 最優先の対策(全部やらない)
  • 初動の型(最初の30分)

をまとめて自社セキュリティ情報として準備しておく方が、圧倒的に速く・正確になります。
もし「それを最短で作りたい」なら、初動整備を60分で落とし込む支援を提供していますので、ぜひご利用ください。

60分セッションの詳細はこちら