情報セキュリティ管理基準とは？情報セキュリティ監査の判断基準を整理【SG試験】

まず結論

情報セキュリティ管理基準とは、組織が情報資産を守るために、どのような管理策を整備・運用すべきかを示した基準です。
SG試験では、細かい規格番号を暗記するよりも、情報セキュリティ監査で「管理策が妥当か」を判断するための尺度として使われる点を押さえることが大切です。

特に重要なのは、次の3点です。

情報セキュリティ管理基準は、情報セキュリティ監査の判断基準として使われる
JIS Q 27001やJIS Q 27002と関係が深い
守秘義務、アクセス管理、委託先管理、リスク対応など、組織の管理策を確認するために使われる

直感的な説明

情報セキュリティ管理基準は、簡単にいうと、情報セキュリティ対策のチェックリストの土台です。

例えば、会社が「情報セキュリティ対策をしています」と言っても、何をもって十分と判断するかが曖昧だと、監査する人によって評価がばらついてしまいます。

そこで、情報セキュリティ管理基準を使うと、

ルールは整備されているか
責任者は決まっているか
従業員や委託先の責任は明確か
アクセス権限は適切に管理されているか
インシデント対応の仕組みはあるか

といった観点で、組織の管理策を確認できます。

つまり、情報セキュリティ管理基準は、監査人が好き嫌いで判断しないための共通のものさしと考えると理解しやすいです。

定義・仕組み

情報セキュリティ管理基準は、情報セキュリティマネジメントに関する国際規格との整合を意識して作られた基準です。
現在の基準は、JIS Q 27001やJIS Q 27002の考え方と関係しています。

大きく見ると、次のような内容を扱います。

観点	内容
マネジメント	方針、体制、責任、リスクへの対応など
管理策	アクセス制御、教育、委託先管理、物理的対策、技術的対策など
監査での利用	組織の管理策が適切かを判断する尺度として利用

ここで大切なのは、情報セキュリティ管理基準が、単なる技術対策の一覧ではないという点です。

暗号化、認証、ファイアウォールのような技術だけでなく、

組織体制
役割と責任
従業員教育
委託先との契約
記録と監査
継続的改善

のような、管理面・運用面も含めて確認します。

SG試験では、ここを理解していると、単なる技術問題ではなく、組織としてどう管理すべきかを問う選択肢に対応しやすくなります。

どんな場面で使う？

情報セキュリティ管理基準は、主に次のような場面で使われます。

情報セキュリティ監査を行う場面

監査人が、組織の情報セキュリティ対策を確認するときに、判断の基準として使います。

例えば、従業員の守秘義務について監査する場合、単に「秘密を守るように言っているか」だけでは不十分です。

雇用契約や就業規則で責任が明確になっているか
雇用終了後も必要な期間、守秘義務が継続するようにしているか
秘密情報にアクセスする人に、適切な契約や誓約を求めているか
違反時の対応が定められているか

といった観点で確認します。

社内ルールを整備する場面

情報セキュリティポリシーや各種手順書を整備するときにも、情報セキュリティ管理基準の考え方が参考になります。

例えば、次のような社内ルールを整えるときです。

アクセス権限管理ルール
パスワード管理ルール
委託先管理ルール
情報機器の持出しルール
インシデント対応手順
従業員教育のルール

外部委託先を管理する場面

委託先に情報処理を依頼する場合、委託先が情報を適切に扱うかを確認する必要があります。

このとき、契約書や委託先管理のルールに、守秘義務、再委託、アクセス制御、事故時の報告などを定めておくことが重要です。

SG試験では、委託したら終わりではなく、委託元にも管理責任が残るという考え方がよく問われます。

よくある誤解・混同

誤解1：情報セキュリティ管理基準は、技術対策だけを定めたもの

これは誤りです。

情報セキュリティ管理基準は、技術対策だけでなく、組織、人的対策、物理的対策、運用管理、委託先管理なども含みます。

SG試験では、ファイアウォールや暗号化だけでなく、責任分担、教育、契約、監査、記録といった管理面を選べるかが重要です。

誤解2：守秘義務は、雇用が終われば自動的になくなる

これは誤りです。

過去問でも問われやすいポイントです。
組織の管理策として、雇用終了後も、定められた期間は守秘義務を継続させるようにしておくことがあります。

そのため、

雇用の終了をもって守秘義務が解消される

という選択肢は、指摘事項になり得ます。

誤解3：勤務時間外の守秘義務は、雇用契約に書かなければ成立しない

これも注意が必要です。

守秘義務は、労働契約や就業規則、信義則上の義務などと関係します。
問題文で「雇用契約に書かれているか」だけに注目すると、引っかかりやすくなります。

SG試験では、その選択肢が情報セキュリティ管理基準上の指摘事項に当たるかを考えることが大切です。

誤解4：情報セキュリティ管理基準と情報セキュリティ監査基準は同じもの

似ていますが、役割が異なります。

用語	役割
情報セキュリティ管理基準	管理策の妥当性を判断するための基準
情報セキュリティ監査基準	監査をどのように実施・報告するかの基準

ざっくりいうと、管理基準は何を確認するか、監査基準はどう監査するかに近いイメージです。

SG試験での判断ポイント

SG試験では、次のように判断すると解きやすくなります。

1. 技術ではなく、管理策の問題として見る

情報セキュリティ管理基準の問題では、暗号化方式やプロトコルの細かい知識よりも、組織としての管理が問われます。

例えば、守秘義務の問題なら、

誰に守秘義務を負わせるか
いつからいつまで責任を負うか
契約や規程で明確になっているか
違反時の対応が定められているか

を確認します。

2. 「雇用中だけ」「勤務時間中だけ」と限定する選択肢に注意する

守秘義務や情報保護の責任は、勤務時間中だけに限られるとは限りません。
また、雇用終了後も一定期間継続するように定めることがあります。

そのため、

雇用終了と同時に守秘義務がなくなる
勤務時間外は守秘義務を負わない

のような選択肢は、慎重に確認します。

3. 契約書への署名だけでなく、組織の管理策全体を見る

守秘義務契約書に署名することは重要ですが、それだけで十分とは限りません。

情報セキュリティ管理では、契約、教育、アクセス管理、違反時の対応などを組み合わせて、実効性のある管理策にする必要があります。

試験で迷ったときの考え方

守秘義務に関する問題で迷ったら、次のように考えると整理しやすいです。

選択肢の内容	判断の方向性
雇用終了後も一定期間、守秘義務を継続する	適切な管理策になりやすい
雇用終了と同時に守秘義務がなくなる	指摘事項になりやすい
違反時の対応を定める	適切な管理策になりやすい
秘密情報へアクセスする前に守秘義務契約を行う	適切な管理策になりやすい
勤務時間外だから守秘義務がないと考える	注意が必要

過去問では、一見すると雇用契約の細かい話に見えても、実際には情報セキュリティ管理基準に基づく管理策の妥当性を問う問題として出題されます。

まとめ（試験直前用）

情報セキュリティ管理基準は、情報セキュリティ監査で管理策を判断するための基準である
技術対策だけでなく、組織、人的対策、物理的対策、運用、委託先管理も含む
JIS Q 27001、JIS Q 27002と関係が深い
情報セキュリティ監査基準は「監査の進め方」、情報セキュリティ管理基準は「管理策の判断基準」と考える
守秘義務は、雇用終了後も一定期間継続させる管理策が重要
SG試験では、組織として責任や管理策を明確にしているかで選択肢を判断する

確認問題

従業員の守秘義務について、情報セキュリティ管理基準に基づく監査で指摘事項に該当しやすいものはどれか。

雇用終了後も、定められた期間は守秘義務を負うことを雇用条件に含めている。
秘密情報へアクセスする従業員に、アクセス前に守秘義務契約への署名を求めている。
守秘義務に違反した場合の措置を定めている。
雇用の終了をもって守秘義務が解消されることを雇用契約に定めている。

回答と解説

正解は **4** です。守秘義務は、雇用中だけでなく、雇用終了後も一定期間継続するように定めることがあります。そのため、「雇用の終了をもって守秘義務が解消される」とする契約は、情報セキュリティ管理上の指摘事項になり得ます。 1、2、3は、守秘義務を明確にし、秘密情報を保護するための管理策として適切です。

参考リンク

経済産業省：情報セキュリティ監査制度
https://www.meti.go.jp/policy/netsecurity/is-kansa/
経済産業省：情報セキュリティ管理基準（令和7年改正版）
https://www.meti.go.jp/policy/netsecurity/is-kansa/IS_Management_Standard_R7.pdf