第6話「ルールを作る人たち ～ポリシーと規程の体系～」

📖 用語まとめ表

セキュリティは技術だけじゃ守れません。「誰が・何を・どう守るか」を言葉にしたルールがなければ、組織はバラバラに動いてしまいます。今回はそのルールの体系を一緒に覚えていきましょう！

用語（略語）	読み方	一言説明	身近な例え
情報セキュリティ方針	じょうほうせきゅりてぃほうしん	組織のセキュリティの基本姿勢を示す最上位文書	学校の「校則の前文」。なぜルールが必要かを宣言する部分
情報セキュリティ対策基準	じょうほうせきゅりてぃたいさくきじゅん	方針に基づく具体的なルール集	「校則」本文。パスワード8文字以上・USBは暗号化など
プライバシーポリシー	ぷらいばしーぽりしー	個人情報の取り扱い方針を公開した文書	サービス登録時に出る「個人情報の使い方の約束」
個人情報保護方針	こじんじょうほうほごほうしん	個人情報保護法に基づく組織の保護宣言。プライバシーポリシーと同義	「あなたの情報を大切にします」という会社の公約
ガバナンス	がばなんす	組織を適切に統治・管理する仕組み全体	会社の「舵取り」。ちゃんと正しい方向に進んでいるか管理すること
トップマネジメント	とっぷまねじめんと	社長・役員など最高経営層のこと	学校の校長先生。セキュリティは偉い人が本気でないと機能しない
内部監査	ないぶかんさ	社内が自らISMSの運用状況を点検・評価する活動	定期テストの前に「自分で答え合わせする」感覚
CISO	しーあいえすおー	Chief Information Security Officer（最高情報セキュリティ責任者）	会社のセキュリティ担当の「大将」。セキュリティ戦略のすべてを統括

🔍 結城の偵察

深夜2時。結城は自室のモニターにメタCの公式サイトを映し出し、静かにスクロールを続けていた。

目当てはプライバシーポリシーと、情報セキュリティ基本方針のページだ。

「なるほど……ちゃんと整備されてる。『収集した個人情報は目的の範囲内でのみ使用』『第三者提供は本人の同意を得た場合に限る』……一見、完璧ね」

マグカップのコーヒーを一口飲み、つぶやいた。

「でも、ルールは紙の上のもの。大事なのは、現場がそれを守れているかどうか」

メタCの社員アカウントと思しきSNS投稿を順に開いていく。業務の愚痴、会社のイベント写真、外出先での「仕事中〜」という何気ないチェックイン。慎也の投稿もある。メタCとは業務委託で関わっているワールドクリエイターのアカウントだが、里見と一緒に映った写真に、指が一瞬止まった。

——里見さん、か。

感情を奥に押し込んで、指を動かす。

「社員がポリシーを理解していないか、忘れているか。SNSの書き込み一つで、どこまで情報が漏れているか……」

結城は小さくメモを取った。公開情報の範囲で集められる断片は、まだある。プライバシーポリシーに書いてある「運用」と、実際の「現場の動き」の乖離――そこに必ず隙がある。

「急がなくていい。じっくり観察する。ルールを知っているからこそ、その穴が見えてくるのよ」

💬 慎也と里見の会話①

週末の昼下がり、慎也は里見のアパートのソファで、ノートPCを膝に乗せていた。

メタCの「ワールドクリエイター向け利用規約」を読んでいたのだが、ページの下部に小さいリンクを見つけた。

「ねえ里見、これ——『情報セキュリティ基本方針』って、こんなページあったんだ」

里見がキッチンから顔を出した。

「あ、気づいた？それ、メタCが外部に公開してる方針書だよ。ISMSの要求事項の一つでもある」

「なんか……想像より全然ちゃんとした文書が出てきて、びっくりした。『当社は情報セキュリティを経営の重要課題と位置づけ……』って書いてあって」

「そうなんだよ。セキュリティって、技術よりも先にルールと宣言があるんだ」

里見はマグカップを二つ持ってソファに座り、慎也の画面を覗き込んだ。

「ちょっと教えてあげようか。セキュリティの『ルールの構造』」

「うん、ぜひ」

慎也はノートを取り出した。

📘 里見の解説「セキュリティポリシーの3層構造」

情報セキュリティ方針と3層構造

「セキュリティのルールって、一枚の紙に全部書いてあるわけじゃないんだよ」と里見が言った。「3つの層に分かれてる」

里見はノートに図を描いた。

【上位】情報セキュリティ方針（ポリシー）
        ↓「なぜ守るか」を宣言
【中位】情報セキュリティ対策基準（スタンダード）
        ↓「何をするか」を規定
【下位】実施手順・規程（プロシージャ）
        ↓「どうやるか」を手順化

「一番上の情報セキュリティ方針は、経営トップが出す”宣言”。『うちの会社はセキュリティをこう考えています』って社内外に示すもの。さっき慎也が見てたページが、それにあたるね」

「じゃあ、『パスワードは8文字以上にすること』みたいな具体的なルールは？」

「それが情報セキュリティ対策基準。方針を受けて、具体的に何をやるべきかを決めた文書。社員全員が共通で守るルール集」

「で、その下の手順は……？」

「『パスワード変更の手順はこの画面からこうやって』みたいな、実際の操作レベルの文書。上に行くほど抽象的で変わりにくく、下に行くほど具体的で変わりやすい。法律みたいな感じだね。憲法→法律→施行規則、みたいな」

慎也がうなずいた。「なるほど、ピラミッドか」

情報セキュリティ対策基準

「たとえばこんなこと」と里見は続けた。

• パスワードは○文字以上、英数字記号を含むこと
• USBメモリは原則使用禁止。使う場合は暗号化すること
• 会社の情報を個人のクラウドサービスに保存しないこと
• 退職者のアカウントは当日中に無効化すること

「技術的なルールだけじゃなくて、人的・物理的なルールも含まれてる。クリアデスク（机の上に情報を残さない）とか、不審者の入室を禁じるとか」

「それを全員が守れてるかどうかが問題、か……」

「そう、それが難しいところだよ」と里見は静かに言った。「ルールは作るだけじゃ意味がない」

プライバシーポリシーと個人情報保護方針

「次は、さっき慎也が見てたプライバシーポリシーについても話しておこうか」

「ああ、サービス登録するときに『同意する』ってやつ？」

「そう。あれはプライバシーポリシー——個人情報をどう集めて、どう使って、どう守るかを公開した文書。メタCなら、ユーザー10万人の情報がある。それをどう扱うかを明示する義務があるんだよ」

「個人情報保護方針は似たような言葉だけど、こっちは個人情報保護法に基づいた組織内の宣言。プライバシーポリシーとほぼ同義で使われることが多いけど、厳密には対外向けがプライバシーポリシー、組織の内外への宣言が個人情報保護方針って区別することもある」

「登録するとき、ほとんど読まずに同意してたなあ……」

里見は苦笑した。「慎也らしいね。でも、作る側は真剣に書かないといけない文書だよ」

ガバナンスとトップマネジメント

「さっきのポリシーを見てて、『経営の重要課題』って書いてあったよね」と里見が言った。「それがガバナンスの話につながるんだ」

「ガバナンス……統治、みたいな？」

「そう。組織を正しい方向に導くための仕組み全体のこと。セキュリティで言えば、誰が意思決定して、誰が責任を取るかを明確にすること」

「それって、社長とかが決めること？」

「まさに。ISMSではトップマネジメント——社長や役員クラスが、セキュリティに本気でコミットすることが求められてる。理由は簡単で、予算も権限も持ってるのはトップだから。現場が頑張っても、トップが動かないと根本は変わらない」

「なるほど。セキュリティって、技術者だけの問題じゃないんだな」

「たとえば——使っているライブラリの脆弱性を自動で監視するツールを導入したいとする。そのツールの購入費用を出せるのも、全社ルールとして『必ず使うこと』と決められるのも、トップだけ。現場がいくら『必要だ』と訴えても、予算と権限を持つトップが動かないと実現しないんだよ」

「確かに。自分が副業でワールド作ってるときは自分で決められるけど、会社だとそうはいかないよな」

「そう。だからセキュリティはトップが本気でコミットしていることが、大前提なんだよ」

「うん。そしてトップマネジメントを支えて、セキュリティ戦略を統括する役職がCISO（Chief Information Security Officer・シーアイエスオー）——最高情報セキュリティ責任者だよ。佐藤さんはメタCの場合、CISOに近い役割を担ってる」

内部監査

「ルールを作ったとして……ちゃんと守られてるかって、どうやって確認するの？」

「それが内部監査。組織内の監査担当者が『ISMSのルールがきちんと運用できているか』を定期的にチェックする活動だよ」

「自分たちで自分たちを調べる？」

「そう。第三者の外部審査（認証審査）の前に、まず自分たちで点検しておく——定期テストの前に自分で答え合わせするイメージ。問題点を早期に発見して、修正できるのが内部監査の強みだね」

「監査って聞くと、なんか怖い感じがするけど」

「目的は『責める』ことじゃなくて『改善する』こと。ルールと実態がズレているところを見つけて、埋めていくんだよ」

⚡ 攻撃の影

月曜の朝、佐藤は定例のログ確認をしながら、社内のセキュリティ状況レポートを眺めていた。

今回は、外部から直接的な攻撃の痕跡はない。しかし——気になることがあった。

「……社員のSNS投稿か」

外部セキュリティ監視サービスからのアラートが一件。メタCの社員と思われるアカウントが、社内プロジェクトの名称をそのままSNSに書き込んでいた。プライバシーポリシーや情報セキュリティ対策基準では、社内情報の不必要な外部公開を明確に禁止している。

悪意はないだろう。ただの「うっかり」だ。

だが——そのうっかりが積み重なると、ポリシーと現場の乖離が生まれる。外から見れば、それは「つけ込む隙」に見える。

「今期の内部監査、少し前倒しにしたほうがいいかもしれない」

佐藤は静かにメモを取った。証拠はないが、何者かがメタCの社員の動向を外から観察しているような——そんな感覚が、ログを見るたびに強まっていた。

🛡️ チームの対応

佐藤は、里見に連絡を入れ、状況を共有した。

「直接的な攻撃じゃないが、ポリシー違反の可能性がある投稿が確認された。内部監査を前倒しで実施したい。協力してほしい」

「わかりました。何から始めますか？」

「まずSNSガイドラインと情報セキュリティ対策基準の周知から。それと、直近の社員の外部SNS投稿をチェックして、どの程度ポリシーと乖離しているか確認したい」

里見は慎也に電話を入れた。

「慎也、さっきの話の続きみたいなことが実際に起きてるんだけど——」

「え、本当に？」

「メタCのクリエイター向けのコミュニティも含めて、プライバシーポリシーの内容を改めて周知したいんだ。慎也、ワールドクリエイターのコミュニティに顔が広いから、力を貸してほしいて佐藤さんが」

「わかった。それくらいなら全然できる」

数日後、メタC社内では全員を対象にした情報セキュリティ対策基準の再周知が実施された。CISOポジションである佐藤が直接社員に語りかける形にしたのは、「トップマネジメント（経営層）からのメッセージ」として重みを持たせるためだ。

内部監査の日程も早急に設定された。ルールが正しく運用されているかを、自分たちの手で確かめる時間を作る——それが、最初の防御だった。

💬 慎也と里見の会話②

夕方、慎也は里見からの「お疲れ様」のメッセージを見て、返信を打った。

「今日の一件、結局技術的な攻撃じゃなかったんだね」

「そうなんだよ。でも、セキュリティの問題って、技術より人やルールの運用で起きることのほうが多い。ポリシーがあっても、それが形だけになってたら意味がないから」

「さっき里見に教わった3層構造——方針があって、基準があって、手順がある。それを守るかどうかは、結局一人ひとりなんだな」

「そう。だからトップが本気でコミットして、内部監査で定期的に確認して、みんなで意識を保ち続けるのが大事なんだよ」

慎也はしばらく考えてから、返した。

「なんか……セキュリティって、技術を学べばいいと思ってたけど、組織とか人とか、もっと大きい話なんだね」

「うん。技術は道具。使う人と、使い方のルールがちゃんとしてないと、どれだけいい道具でも機能しない」

「わかった。ちゃんと覚えとく」

しばらく間があって、里見から一言届いた。

「慎也が理解してくれると、なんかうれしい。今日もありがとう」

慎也は小さく笑って、スマホを置いた。

😤 結城の悔しがり

結城がメタCの公式SNSに「セキュリティポリシー再周知のお知らせ」という投稿を見つけたのは、その夜のことだった。

指が止まった。

「……内部監査を前倒し。対策基準を再周知。タイミングが、早すぎる」

自分が観察していたSNS投稿——その程度のことで、彼らは動いた。証拠があったわけではない。ただ「乖離の兆候」を察知して、先手を打った。

「佐藤……」

悔しいというよりも、怖い、と思った。技術的な攻撃を防ぐだけじゃない。ルールと現場のズレを仕組みで管理している組織は、外から崩すのが難しい。

だが——

「ポリシーは整った。でも完璧な運用なんてありえない。人間がいる限り、必ずどこかに甘さが出る。それが見つかるまで、私は待ち続ける」

コーヒーが冷めていることに気づかないまま、結城はモニターを見つめ続けた。

メタCは今日も動いている。慎也も、里見も、佐藤も——そして、自分も。

まだ、何も終わっていない。