ITパスポート 令和7年度 問84：securityに関する問題

答えは b です。

会社のセキュリティの「基本方針」は、一度決めて終わりではなく、世の中の危険（新しいウイルスや手口）に合わせて“ずっと良くしていきます”という約束を入れておくべき、という意味です。

たとえばスマホのアプリも、安全のためにずっと更新（アップデート）されますよね。それと同じで、守り方も止めずに見直し続けるのが大事なんです。

👉 覚え方：セキュリティは「やりっぱなしNG・ずっと改善」。

ほかの選択肢：a 社内だけ秘密にする→×（方針は関係者に広く知らせるもの）／c 部門ごとに別々に作る→×（組織全体で1つ）／d 各職場の管理者が承認→×（経営トップが承認するもの）。

なぜこれが正解か

正解は b。情報セキュリティ方針（ポリシー）は、組織のセキュリティに対する経営層の意思表明であり、ISMSを継続的に改善するコミットメント（約束）を含むべきとされる（PDCAによる継続的改善が前提のため）。

各選択肢の解説

• a：方針は機密事項を羅列したものではなく、基本姿勢を示す文書。むしろ従業員・関係者に周知すべきもので、社内限定にする必然性はない。
• c：方針はISMSを適用する組織全体として定めるのが原則。部門ごとにバラバラに作るのは不適切（個別の手順書は別途あってよい）。
• d：方針は経営層（トップマネジメント）が承認・主導するもの。各職場の管理者によるボトムアップ承認ではない。

覚え方・ひっかけ注意

方針の3点セット＝「①経営トップが定める ②組織全体に適用 ③継続的改善を約束」。「部門ごと」「現場管理者が承認」「社内限定」はいずれもひっかけのキーワード。

理論的背景

ISMSにおける情報セキュリティ方針（Information Security Policy）はJIS Q 27001第5.2節に要求事項が定められており、正解はbの「ISMSを継続的に改善するコミットメントを含む必要がある」である。

JIS Q 27001が情報セキュリティ方針に求める要件を詳述する。トップマネジメントが承認・発行すること（ボトムアップではなくトップダウン：選択肢dが誤りの根拠）。組織の目的に適切であること。情報セキュリティ目標の設定または設定のための枠組みを含むこと。情報セキュリティへの取組みにコミットすること。適用法令・規制・契約上の要求事項の充足にコミットすること。ISMSの継続的改善へのコミットメントを含むこと（選択肢bが正解の根拠）。

方針の伝達範囲について：JIS Q 27001では「組織内に伝達し、方針を知る必要がある利害関係者が入手できるようにする」と要求しており、「必要に応じて外部の利害関係者にも提供可能とする」とされている。つまり機密事項だから社内限定にする（選択肢a）という解釈は誤りであり、むしろ対外的に公開することも適切とされている。

方針の適用範囲：選択肢cの「部門ごとに定める」という考え方は誤りであり、ISMSの適用範囲として定義された組織全体に適用される単一の情報セキュリティ方針が求められる（部門独自の詳細手順書は別途作成できるが、上位方針は組織全体共通である）。

実務での使われ方

情報セキュリティ方針の策定と運用は、ISMS認証取得・維持の実務において非常に重要な文書管理活動である。実務での留意点を整理する。

方針文書の構成：多くの企業は「情報セキュリティ基本方針」（全社適用・トップマネジメント名義・A4 1〜2枚程度の簡潔な文書）→「情報セキュリティ管理規程」（基本方針を詳細化した部門横断ルール集）→「各種手順書・実施手順」（具体的な操作手順・チェックリスト）という3層構造で文書体系を整備する。継続的改善コミットメントの実装：年次のマネジメントレビューで方針の適切性・妥当性・有効性を評価し、必要に応じて方針を改訂する。改訂履歴は文書管理手順に従って記録・保管される。対外公開の実践：取引先・顧客からの要求や入札要件として「情報セキュリティ方針の開示」が求められるケースが増えており、Webサイトへの掲載・審査時の提出が一般化している。

試験での位置づけ

ISMSの情報セキュリティ方針の要件はITパスポートのセキュリティ分野で繰り返し出題される重要項目であり、JIS Q 27001の要求事項の要点（トップマネジメント承認・全組織適用・継続的改善へのコミットメント・適切な伝達）を正確に押さえることが正答への近道である。本問の四つの選択肢はいずれも「よくある誤解」を選択肢化したものであり、「機密だから社内限定」「部門ごとに最適化」「ボトムアップ承認」という三つの誤概念を確実に否定できる知識が求められる。

情報処理安全確保支援士試験では、JIS Q 27001の要求事項全条文の理解・情報セキュリティ方針と下位文書体系の設計・情報セキュリティ目標の設定手法（SMARTな目標設定）・マネジメントレビューへの入力事項と出力事項まで問われる。また近年のJIS Q 27001:2023改訂では「脅威インテリジェンス」「クラウドサービス利用時のセキュリティ」「ICTサプライチェーンセキュリティ」などの新たな管理策（Annex A）が追加されており、最新動向の把握が重要である。

選択肢の発展補足

選択肢aの「機密事項のため社内限定」という誤概念は、情報セキュリティ方針を「社外秘文書」と混同していることから生まれる。実際には情報セキュリティ方針は組織の「情報セキュリティへのコミットメントの表明」であり、ISMSのプレスリリース・Webサイト掲載・認証審査での提出など対外的な活用が推奨される文書である。選択肢dの「ボトムアップを前提として各職場の管理者によって承認される」という誤概念は、現場の実態を反映したボトムアップの情報収集（リスクアセスメント等）と、最終的な方針承認がトップマネジメントの権限であるという区別の混同から生まれる。JIS Q 27001は「トップマネジメントのコミットメント」を認証の根本的な前提条件として重視しており、経営トップの関与なしにISMSが機能しないという認識が規格の設計思想の核心にある。