セキュリティポリシーとはなにか。総務省のホームページで解説*1があった

　そうか、それはそうだな。セキュリティポリシーには外部公開版と内部公開版がある。外部公開版には社としての姿勢が書いてある。よほどの会社でなければ、「セキュリティは二の次です」とは書いてない。万一、その会社で重大なセキュリティインシデントがあったときに、「・・・の対策が弱かったので、対策を強化してお客様の安心と安全を守る・・」というには、外部公開版には、社としての方針、社員としての行動指針くらい、残りの部分は内部公開版にしっかりと書いておくんだろうな。

　最近、ある会社の内部セキュリティポリシーを熟読する機会があり、基準だけではなく、何のリスクに誰が何をやるという対策まで、あまりにきちんと書いてある。セキュリティポリシーだから１，２ページかなと思ったら、１０ページ位ある。この会社はセキュリティ専業会社ではないから、社員全員がこの１０ページをきちんと理解しているってことだな。それはそれですごいし、すばらしい。

　で、別の会社では、ポリシーと基準と対策は分けて３層構造でまとめている社もある。基準と対策がごっちゃになっていると、実際に適用する場合に苦労してしまう。例えば、「オフィスエリアには部外者は入れない」という基準であれば、それを守るためにどうしよう。個別の部屋にして入館システムを作って、監視カメラでも設置しておけばいいか、となる。だけど「部外者を入れないように、入館システムで承認されたものだけを入室させる」と書いてしまうと、基準と対策が混じっているので、応用がしにくい。最近は、大きい会社だと、グループ会社が数十あることもめずらしくないから、大きい会社と小さい会社、情報リスクが高い会社とリスクのない会社では温度感は変わってしまう。まして、そのポリシーをそのまま業務委託先にも適用してしまうと、委託費用に跳ね返る。

まあ、セキュリティポリシーは入り口の話で、そこから基準や対策に落とし込んでみたり、業務委託する場合の委託契約の基準の記載とかに影響してくる。難しいというよりも、構造と因果関係をきちんと社員レベルで分かるようにしておくのが大事。多くのセキュリティポリシーは、全従業員が対象になるはずだから。

まあ、言いたいのは、書き方は複数ありますよ、って話。