起業メモ #11 セキュリティ関連の規程類を作る

会社を設立すると、様々な規程類（給与規程、就業規程、など）を作る必要がありますが、当面は自分一人の会社の予定なので、必要になったものから順次作ることにしました。今回は、割と早い段階に必要になったセキュリティ関連の規程類の作り方のメモを残します。

ホームページに掲載するプライバシーポリシーを作る

最初に必要になったのはプライバシーポリシーでした。Wordpress で作った会社のホームページのテンプレートにもプライバシーポリシーを記載するページがあり、問合せを受け付けるような体裁を取っているので、プライバシーポリシーを定めてホームページ上で掲載することは推奨されているようです。
そこで、世の中に出回っているテンプレートを探して、プライバシーポリシーを作ることにしました。
参考にしたテンプレートは、マネーフォワードのものです。記載すべき項目と解説が丁寧で、このテンプレートをベースに実態に合わせた内容に調整して、自社のプライバシーポリシーを作りました。

プライバシーポリシーの正しい作り方を書き方・テンプレートとともに解説 | 電子契約サービス「マネーフォワード クラウド契約」

セキュリティ基本方針とセキュリティ管理規程を作る

プライバシーポリシー作成後しばらくしてから、セキュリティ管理規程類を用意する必要が出てきました。業務としてサイバーセキュリティ関連のコンサルティングを行っているため、顧客との契約時に厳格なサイバーセキュリティ対策の実施と、その運用状況をしめすセキュリティ管理規程類が求められるからです。
こうした規程類も、ゼロベースで作ると大変なので、参考になるテンプレートを探して、そこから作ることにしました。情報処理推進機構（IPA）から「中小企業のためのセキュリティ対策ガイドライン」が発行されていて、その付録に「情報セキュリティ基本方針（サンプル）」と「情報セキュリティ関連規程（サンプル）」が添付されていたので、今回はこちらを使って自社の規程類を作っていきます。最新版は2023年4月に発行された第3.1版で、テレワークに関するガイドラインも充実しています。

中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

セキュリティ管理規程をちゃんと作るのは難しい

IPAのサンプルを使って「セキュリティ基本方針」は簡単に作れました。元々たくさんの内容を書くようなものではなく、1ページ程度の内容なので、ほとんどサンプルのままで自社向けになりました。
一方、「セキュリティ管理規程」の方は、かなり時間がかかりました。元々サイバーセキュリティを仕事としてやっていて、この手の規程類は、よく読んだり書いたりしていたのですが、それでも自社の状況に合わせて15ページほどの規程を作るのに、10時間くらいかかりました。
ある程度の規模の企業であれば、コンサルタントに外注して作成することも多いと思いますが、小規模事業者がこの手の規程類をどうやって作っているのか、自社の事情に合わせて作れているのか、非常に気になりました。