セキュリティチェックシートが差し戻された!よくある原因と再提出で通すための5つのポイント

ーー取引先に提出したセキュリティチェックシートが「不十分」と返ってきた。
どこを直せばいいのかわからない。そもそも何がダメだったのかもわからない。
しかも、再提出の期限が迫っている・・・。

もしそんな状況にあるなら、まず安心してください。差し戻しは「全否定」ではなく、「もう少し補足してほしい」というサインです。ポイントを押さえて修正すれば、再提出で通るケースがほとんどです。

この記事では、登録セキスペ(情報処理安全確保支援士)・行政書士の観点から、差し戻しの典型パターンと、再提出で通すための具体的な修正ポイントを解説します。

→セキュリティチェックシート対応の全体像はこちら

チェックシートが差し戻される5つの典型パターン

まずは「なぜ差し戻されたのか」を把握するところから始めましょう。差し戻しの原因は、大きく5つのパターンに分類できます。御社の状況がどれに当てはまるか、確認してみてください。

パターン1:「はい」と答えたが、根拠・証跡が示されていない

おそらくこれが最も多いパターンではないでしょうか。

たとえば「ウイルス対策ソフトを導入していますか?」という設問に「はい」とだけ回答した場合、取引先からすると「本当に? どんなソフトを、どう運用しているの?」がわかりません。

取引先が確認したいのは、「はい」か「いいえ」かではなく、「何を」「どのように」「いつから」運用しているかという具体的な裏付けです。製品名、バージョン、更新頻度、対象範囲(全端末か一部か)など、回答に根拠がなければ「確認できない=不十分」と判断されます。

パターン2:設問の意図と回答がズレている

設問が聞いている「対策のレベル」を読み違えているケースです。

たとえば「アクセス制御を実施していますか?」という設問に対して、「パスワードをかけています」と回答したとします。パスワード設定はアクセス制御の一部ではありますが、設問が想定しているのは「誰が・どのデータに・どの権限でアクセスできるかを管理しているか」というレベルの話かもしれません。

設問の背景には「取引先は何のリスクを心配してこの質問をしているのか」という意図があります。この意図を読み違えると、回答がズレて「不十分」と評価されます。

パターン3:「いいえ」「未実施」の項目に補足がない

「いいえ」と答えること自体は、問題ではありません。むしろ、実施していないことを正直に回答すること自体は、取引先から見れば誠実な対応です。

問題は、「いいえ」だけで終わっていて、その先が何も書かれていない場合です。取引先からすると「対策していないことを認識しているのか」「今後やる気はあるのか」が判断できません。

「現時点では未実施ですが、○月までに△△の導入を予定しています」——この一文を加えるだけで、回答の印象は大きく変わります。

パターン4:回答の粒度がバラバラ/空欄がある

ある項目は詳細に3行書いているのに、別の項目は「はい」の一言だけ。あるいは、よくわからない設問を飛ばして空欄のままにしてしまう。

このバラつきは、取引先には「一部しかちゃんと確認していないのでは?」と映ります。特に空欄は「回答拒否」と受け取られるリスクがあるため注意が必要です。わからない設問でも「該当なし(理由:○○)」のように、空白にしないことが基本です。

全項目をなるべく同じ粒度で埋めることが、チェックシート全体の信頼性につながります。

パターン5:社内体制(責任者・規程)に関する項目が弱い

「ウイルス対策ソフトを入れている」「バックアップを取っている」といった技術的な対策は書けても、「情報セキュリティの責任者は誰か」「セキュリティに関する基本方針はあるか」といった体制面の設問が空白、または曖昧なままということがあります。

取引先は、個々のツールの有無だけでなく、「この会社は組織として情報を管理しているか」を見ています。体制面の項目が弱いと、技術的な対策がいくらYesでも、全体の信頼度が下がってしまいます。

再提出で通すための5つの修正ポイント

原因が見えたら、次は具体的な修正です。以下の5つのポイントを意識して回答を見直すと、再提出で通る可能性が高くなります。

ポイント1:「はい/いいえ」の後に「なぜなら」を1文加える

チェックシートの回答は、「回答+根拠」のセットが基本形です。

「はい」の場合は、その対策を「いつから」「何を使って」「どう運用しているか」を加えます。

回答例(はい): 「はい。○○(製品名)を全社端末に導入しており、定義ファイルは自動更新(日次)で運用しています。導入時期は20XX年○月です。」

「いいえ」の場合も同じです。現状と、今後の対応方針をセットで書きます。

回答例(いいえ): 「現時点では未導入ですが、20XX年○月までに導入を予定しています。現在は△△によって代替的に対応しています。」

この「なぜなら」の1文を加えるだけで、取引先は回答の信頼性を判断できるようになります。

ポイント2:証跡として添付できるものを洗い出す

回答の裏付けとなる資料(証跡)を求められるケースも増えています。ここで大事なのは、必ずしも「完璧な証跡」が求められているわけではない、ということです。

たとえば以下のようなものが証跡になり得ます。

  • ウイルス対策ソフトの管理画面のスクリーンショット(製品名・更新日時が見えるもの)
  • クラウドサービスの契約情報ページ(プラン名・セキュリティ機能がわかるもの)
  • 社内で作成したセキュリティ関連の規程やルール文書の表紙+目次
  • バックアップ設定画面のスクリーンショット(対象・頻度がわかるもの)

要は、「この対策を実施していることが、第三者にもわかる資料」があれば十分です。何を添付すべきか迷う場合は、設問ごとに「この回答を裏付けるには、何を見せれば相手が納得するか?」と考えると判断しやすくなります。

ポイント3:「未実施」項目は対応計画を書く

前述のとおり、「いいえ」自体が問題なのではなく、「いいえ」で止まっていることが問題です。

未実施項目の回答には、以下の3点を含めると取引先に伝わりやすくなります。

  1. 現状:今どうなっているか(未実施、または部分的に実施)
  2. 課題認識:対応が必要であることを認識しているか
  3. 対応予定:いつまでに、何をするか

記載例: 「現時点では情報セキュリティに関する社内規程は未整備です。本チェックシート対応を機に整備の必要性を認識しており、20XX年○月までに基本方針の策定を予定しています。」

すべてを「はい」にする必要はありません。誠実に現状を伝えたうえで、改善の意思を示すことが、取引先の信頼を得る一番の近道です。

ポイント4:設問の「意図」を読み解いてから回答を修正する

差し戻し後の修正で最もやりがちなのが、「回答の文章を長くすればいいだろう」と情報を足すだけのパターンです。しかし、設問の意図とズレたまま文章量を増やしても、再び差し戻される可能性があります。

修正の前に、まずその設問が「取引先のどんなリスクを確認するために存在しているのか」を考えてみてください。設問文だけでなく、補足説明文や選択肢の文言にヒントがあることも多いです。

設問ごとの意図の読み解き方や回答の考え方については、取引先セキュリティチェックシートの頻出質問20選で詳しく解説しています。

ポイント5:提出前に第三者の目でチェックする

自社だけで回答を完結させると、どうしても「社内の常識」で書いてしまいがちです。社内では当たり前のことを省略していたり、専門用語の使い方が取引先の想定と違っていたりすることがあります。

第三者——たとえば社外の専門家——に見てもらうと、「この書き方だと取引先には伝わらない」「この設問にはこういう趣旨の回答が期待されている」といった気づきが得られます。

社内にセキュリティの専門知識を持つ相談相手がいない場合は、セキュリティの専門資格を持つ第三者にレビューを依頼するのも一つの選択肢です。

チェックシート対応の基本的な流れや回答の書き方については、【中小企業向け】セキュリティチェックシート対応手順の記事もあわせてご覧ください。

差し戻し対応で「やってはいけない」3つのこと

再提出を急ぐあまり、逆効果になる対応をしてしまうケースがあります。以下の3点は避けてください。

失敗例1:実態と異なる回答に書き換えてしまう

差し戻しを受けると、「とにかくYesにしないと取引が切られるのでは」と焦る気持ちは十分わかります。

しかし、実施していない対策を「実施済み」と回答するのは、絶対に避けるべきです。

取引先によっては、チェックシート提出後に実地確認やヒアリングを行うことがあります。そこで回答と実態の矛盾が発覚すれば、単なる「回答ミス」では済まされません。

行政書士の観点から付け加えると、虚偽の回答は取引基本契約上の表明保証違反や、場合によっては損害賠償請求の根拠にもなり得ます。仮にインシデントが発生した際、「チェックシートではYesと回答していた」という事実が、責任の範囲を広げる方向に働くリスクがあります。

正直に「いいえ」と書いたうえで対応計画を示す方が、長期的には取引先との信頼関係を守ることになります。

経営者の法的責任については、セキュリティ対策に消極的な経営者が問われる責任とは?で詳しく整理しています。

失敗例2:取引先に差し戻し理由を確認しないまま修正する

差し戻しの通知に具体的な指摘が書かれていれば、そこに集中して修正すれば済みます。

しかし、「全体的に不十分です」のように理由が不明確な場合は、推測で修正するよりも、取引先に「具体的にどの項目が不十分でしたか?」と確認するのが最短ルートです。

「聞いたら印象が悪くなるのでは?」と心配する方もいますが、むしろ逆です。的確な質問は「この会社はちゃんと対応しようとしている」という印象を与えます。聞くべきことを聞かずに的外れな修正を重ねる方が、かえって信頼を損ないます。

失敗例3:全項目を一から書き直す

差し戻し=全否定ではありません。

多くの場合、問題があるのは一部の項目です。全部消して一から書き直すと、もともと問題なかった回答まで変わってしまい、取引先を混乱させるおそれがあります。

修正が必要な箇所を特定し、そこに集中して直す。これが最も効率的で、取引先にも伝わりやすいアプローチです。

それでも再提出に不安がある方へ

ここまでの内容で、自力で修正できる部分も多いはずです。

ただ、以下のような状況に当てはまる場合は、一人で抱え込まずに第三者の力を借りることを検討してみてください。

  • 差し戻し理由が不明確で、どこを直すべきか特定できない
  • 設問の意図が読み取れず、回答の方針が定まらない
  • 再提出の期限が迫っていて、試行錯誤する時間がない
  • 「はい」と書いて問題ないか、法的な観点が気になる

ビーンズセキュリティサービス(BSS)の無料相談でわかること

当サービスでは、30分の無料相談で以下の4点を整理します。

  1. 差し戻し箇所の特定 — どの設問のどの回答が問題になっているかを整理
  2. 修正の優先順位 — 全部直す必要があるのか、重点箇所はどこかを判断
  3. 追加すべき根拠資料の候補出し — 手元にある資料で証跡として使えるものがないか確認
  4. 再提出用の表現チェック — 取引先に伝わる書き方になっているかを確認

「どこを直すべきか整理したい」というご相談だけでも構いません。

当サービスでできること・行わないこと

できること:

  • 設問の意図の読み解きと、回答方針の整理
  • 回答文案の作成またはレビュー
  • 根拠資料(証跡)の洗い出しと整備のアドバイス
  • 個人情報保護法など法的要件に関する助言(行政書士として)

行わないこと:

  • 実施していない対策を「実施済み」として回答を整えること
  • 御社の実態と異なる内容での回答作成

状況に合わせた3つのプラン

自分で書いた回答をチェックしてほしい方
ライトプラン — 回答案のレビュー+修正ポイントの提示(メール対応)
50,000円(税別)

何を書けばよいかわからない方
標準プラン — 回答方針の策定から回答案の作成まで一式対応
80,000円(税別)

再提出の期限が迫っている方
緊急対応プラン — 24時間以内の初回回答案提示を目標に優先対応
130,000円(税別)

※金額はシートの項目数や御社の状況により変動します。詳細は無料相談にてお見積りいたします。

まずは30分の無料相談で、差し戻しの内容を一緒に確認しましょう →

まとめ

差し戻しは、取引先からの「もう少し詳しく教えてほしい」というリクエストです。全否定ではありません。

多くの場合、回答に根拠を1文加えること、未実施項目に対応計画を書くこと、この2つを行うだけで再提出は通ります。

大事なのは完璧な回答を作ることではなく、誠実に現状を伝え、改善の意思を示すことです。

はじめてのチェックシート対応で戸惑うのは当然です。
一人で抱え込まず、また社内だけで解決するために本業の時間を削るのではなく、必要に応じて専門家の視点も活用してください。

無料相談を予約する →