適用宣言書は、ISMSで必要と判断した管理策、その実施状況、適用・除外の理由を整理する文書です。リスクアセスメント、リスク対応計画、JIS Q 27001附属書Aとの順序をSG試験向けに整理します。

最終更新日:2026年6月2日

sg sg-security-management isms risk_assessment

まず結論

適用宣言書とは、ISMSで組織が採用する情報セキュリティ管理策と、その理由・実施状況・除外理由を整理した文書です。

SG試験では、リスクアセスメントやリスク対応の結果を受けて、必要な管理策を附属書Aなどと照らし合わせて作る文書として判断します。

適用宣言書 = 選んだ管理策と、選んだ理由・除外した理由を説明する文書

直感的な説明

適用宣言書は、セキュリティ管理策の「採用理由一覧表」のようなものです。

組織は、リスクを見たうえで、どの管理策を使うかを決めます。

そのとき、単に「この管理策を使います」と書くだけでは不十分です。

  • なぜその管理策が必要なのか
  • 実施しているのか、これから実施するのか
  • 附属書Aにある管理策を除外するなら、なぜ除外できるのか

これらを説明できるようにするのが適用宣言書です。

定義・仕組み

適用宣言書は、ISMSにおけるリスク対応の流れの中で作成します。

大まかな順序は次のとおりです。

  1. 情報資産やリスクを把握する
  2. リスクアセスメントを行う
  3. 情報セキュリティリスク対応を決める
  4. 必要な管理策を特定する
  5. JIS Q 27001の附属書Aなどに示される管理策と比較し、抜け漏れを確認する
  6. 適用宣言書に、管理策・実施状況・適用理由・除外理由を整理する

つまり、適用宣言書は最初に作る文書ではありません。

リスクを特定・評価し、対応方針や必要な管理策を決めた後に、それを根拠付きで整理する文書です。

どんな場面で使う?

適用宣言書は、ISMSの構築・運用・審査の場面で使います。

  • 組織がどの管理策を採用しているか説明する
  • 管理策の実施状況を確認する
  • 附属書Aの管理策に対して、適用・不適用の理由を示す
  • 審査や監査で、管理策選定の根拠を確認する

SG試験では、「管理策を選んだ後に、附属書Aと照らし合わせて整理する」という順序が狙われます。

よくある誤解・混同

リスク対応計画そのものと混同しない

適用宣言書は、リスク対応で選んだ管理策を根拠付きでまとめる文書です。

そのため、実施時期や担当者を並べた計画書そのものではなく、どの管理策を適用するか、その理由は何かを説明する文書として押さえます。

適用宣言書を作ってからリスクを特定する、ではない

リスクを見ないまま管理策を決めると、組織に本当に必要な対策か分かりません。

SG試験では、適用宣言書を作成した後にリスクを特定する、という選択肢は順序が逆です。

附属書Aは丸写しリストではない

附属書Aの管理策は、管理策選定の確認に使います。

ただし、すべてを機械的に実施するというより、組織のリスク対応に必要な管理策を特定し、適用しないものがあれば理由を説明します。

適用宣言書を見てから管理策を初めて選ぶ、ではない

適用宣言書を作成した後に、その内容を基に管理策を初めて選ぶ、という説明は不適切です。

リスク対応で管理策を選び、その内容を適用宣言書で整理します。

規格本文の要求事項と附属書Aを混同しない

適用宣言書で扱う中心は、附属書Aなどに示される管理策の適用状況や、適用・除外の理由です。

ここで、JIS Q 27001の規格本文にある要求事項と、附属書Aの管理策を混同しないようにします。

  • 規格本文の要求事項:ISMSに適合するために満たす必要がある
  • 附属書Aの管理策:リスク対応に基づいて選び、適用しない場合は理由を示す

SG試験では、「要求事項も管理策もすべて必須」や、「要求事項も妥当な理由があれば除外できる」といった選択肢がひっかけになりやすいです。

確認問題(SG試験対策)

ISMSで適用宣言書を作成する目的として、最も適切なものはどれか。

  • ア. 組織が採用する管理策、実施状況、適用・除外の理由を整理して示す。
  • イ. リスクを洗い出す前に、すべての管理策を一律に実施すると宣言する。
  • ウ. 監査後に改善点だけを列挙し、採用済みの管理策は記載しない。
  • エ. リスク対応の候補を検討せず、附属書Aの項目をそのまま作業計画にする。
▶ クリックして答えと解説を見る(ここを開く)

正解:ア

解説

  • ア:適切です。適用宣言書では、管理策の適用状況や適用・除外の理由を根拠付きで整理します。
  • イ:不適切です。リスクを見ずに一律実施を宣言する文書ではありません。
  • ウ:不適切です。改善点だけでなく、採用する管理策やその理由を示します。
  • エ:不適切です。附属書Aは確認に使いますが、組織のリスク対応に基づいて管理策を選びます。

👉 判断ポイント 適用宣言書は、リスク対応で選んだ管理策を、附属書Aと照らして根拠付きで整理する文書です。

まとめ(試験直前用)

  • 適用宣言書は、ISMSで選んだ管理策と理由を示す文書。
  • リスクアセスメントやリスク対応の後に作成する。
  • 附属書Aと比較して、必要な管理策の抜け漏れや除外理由を確認する。
  • 規格本文の要求事項は満たす必要があり、附属書Aの管理策は理由を示して適用・除外を判断する。
  • 適用宣言書を作ってからリスクを特定する、という順序は誤り。
  • 迷ったら「リスクを見る → 管理策を選ぶ → 適用宣言書で説明する」と覚える。

公式情報・参考リンク

© 2024-2026 stemtazoo. All rights reserved.