【作成例付き】ISMS(ISO27001)適用宣言書とは？作り方3ステップを解説！

ISO27001（ISMS）認証の取得準備を進める中で、「適用宣言書」の作成に頭を悩ませてはいませんか？

ISMS適用宣言書とは、組織がどの情報セキュリティ管理策を実施し、何を除外するかを対外的に宣言する文書でISO27001の取得要件となっています。

2022年の規格改訂により管理策が93項目に再編されたことで、どのように対応すべきか迷う担当者も少なくありません。

結論からお伝えすると、適用宣言書の作成で重要なことは「業務内容から適用する管理策を選定する」ことです。自社の業務実態・フローを適切に把握することで管理策の適用・除外理由を明確に把握することができます。

この記事では、ISMS適用宣言書の基本的な目的から、2022年版に対応した具体的な書き方、審査をスムーズに通過するための「適用除外」のポイントまで、3つのステップでわかりやすく解説します。

1.ISMS適用宣言書とは

具体的には、ISMSの国際規格であるISO/IEC 27001の「附属書A」に記載された情報セキュリティ管理策93項目のうち、自社に「適用する項目」と「除外する項目」、および「適用除外とする理由」を明記します。 以前の規格（2013年版）では114項目でしたが、2022年の改訂により内容が統合・整理され、現在は93項目となっています。

この文書は、組織のセキュリティ目的とその管理策を明示する役割を担っており、ISO/IEC 27001認証を取得するためには作成が必須の要件となっています。

⑴ISMS適用宣言書の目的

適用宣言書を作成する目的は、主に以下の5点が挙げられます

①自社に必要な対策（管理策）を特定し、実施内容を明確にする

ISO/IEC 27001の「附属書A」に記載されている管理策（93項目）のすべてが、どの企業にもそのまま当てはまるとは限りません。 自社の業務内容や組織の規模に合わせて、どの対策を採用し、具体的にどう実施するかを文書化します。これにより、現場の実態に即したルール作りが可能となり、「実務で使われない無駄なルール」が増える事態を防ぎます。

②リスク対応の根拠と除外理由の正当化

適用宣言書は、適当に作成するのではなく「リスクアセスメント」の結果と紐づけることが必要です。

この結果に基づきどの管理策を適用するか決定します。

また、ISMSでは不要な管理策を除外することが認められています。

しかし、単に面倒だからという理由で適用除外することはできません。

例えば、「システム開発を行っていないため、8.4 ソースコードへのアクセスは適用除外とする」といったように、自社の環境や業務フローに照らし合わせ、適用しない正当な理由を論理的に記述します。

これは審査の際にも必ず確認されるポイントです。

③セキュリティ体制の「見える化」を図る

適用宣言書は、社内外に対して組織のセキュリティ姿勢を示す役割を果たします。

内部監査や審査において、組織の管理体制が適切であることを説明するための根拠資料となるほか、顧客や取引先などの外部利害関係者に対しても、どのようなリスク対策を講じているかを明確に伝えることができ、企業としての信頼性向上につながります。

④PDCAサイクルを回す基準にする

一度作成して終わりではなく、毎年の内部監査やマネジメントレビューの際に「計画通りに対策ができているか」をチェックする基準書として活用します。 この文書をベースに運用の見直し（改善）を行うことで、ISMS運用の形骸化を防ぎ、継続的なセキュリティレベルの維持につなげます。

⑤ISO/IEC 27001認証取得の必須要件である

ISO/IEC 27001の認証を取得するためには、適用宣言書の作成が規格で義務付けられています。この文書が存在しない、あるいは内容に不備がある場合、認証審査を通過することはできません。

2.ISMS適用宣言書の作り方｜3ステップ

難しく思われがちな適用宣言書ですが、下記の３ステップで作るとシンプルで分かりやすく作成できます。

順番に見ていきましょう。

1. 管理策の大枠を理解する
2. 業務内容から適用する管理策を選定する
3. 管理策内容を具体的に作成する

⑴ステップ１『管理策の大枠を理解する』

まずはじめに、管理策の大枠を理解していきましょう。

管理策において、これまでは14あった管理策グループが、2022年度版で4つのグループにまとめられました。

項目数は合計93個あります。

まずは、4つの管理策グループの概要を理解していく必要があります。

組織的な管理策

37項目

人的な管理策

8項目

物理的な管理策

14項目

技術的な管理策

34項目

⑵ステップ２『業務内容から適用する管理策を選定する』

93項目全ての項目を適用する必要はありません。

自社の業務内容を確認して管理策の選定を行います。

例えば、⑥暗号や⑩システム開発保守は該当しないケースもあります。

自社に該当しない場合は、適用除外にしましょう。

一般的な企業ですと、85〜93項目程度が適用になり、いくつかの項目が適用除外となることが多いです。

すぐにセキュリティルールを考えるのではなく、果たしてそのルール作成は必要なのか、

業務とは直接関わらないが間接的に関わり管理する必要があるなど、管理策については現状業務内容と合わせて考える必要があります。

⑶ステップ３『管理策内容を具体的に作成する』

必要な管理策が明確になったら、自社で現状やっているルールを明確にしましょう。

ルールが定まっていない管理策があれば決めていきます。

例えば、③人的資源で、雇用前のルールを決める必要がありますが、すでに、雇用契約書や秘密保持誓約書、支給品の同意書等を締結している企業も多いと思います。

その場合、まずそれを貴社のルールとして決めていきましょう。

退職する際のルールが曖昧な企業も多いです。

退職者のアカウント削除、貸与物の管理、などは漏洩事故の可能性も大きく審査の際に審査員が注目するポイントでもありますので、現状でルールがなければ、新たに決めることを推奨します。

⑤アクセス制御についても、ルールが決まっていないケースが多くあります。

共有フォルダを使っているが、誰でもアクセスできる状態になっていることもあります。

そのような場合は、ISMS（ISO27001）認証取得をきっかけに、適切なアクセス権付与をすることをおすすめします。

3.ISMS適用宣言書の作成例

一例として、適用宣言書のサンプルを紹介します。

「適用宣言書　 ISO27001:2022」

適用欄(適用=〇、 適用除外=x、 管理策を実施していない=△)

各項目について、左から順に、〈管理策〉〈適用欄〉〈実施〉〈管理策を含めた理由〉〈関連文書〉という項目で構成します。

ここでポイントとなるのが〈適用欄〉〈実施〉の項目です。

「適用はしているけれど実施はしていない」という場合もあるので、どれが自社で当てはまっているか確認をしましょう。

適用宣言書は、2022年度版に変更することが必要です。

変更点としては114項目の管理策が、全93項目に削減されています。

58項目

更新

24項目

統合

11項目

新規

「変更点や対策が具体的に分からない・・・」とお悩みの方へ。

管理策のどの項目がどう変わったのか、資料に詳しくまとめました。

下記より資料をプレゼントいたします！

審査のときに審査員が見るのは、適用した管理策ではありません。適用除外にした管理策が何かを見られます。

ISMS（ISO27001）では原則として、できるだけ管理策を適用することが望ましいと言われているので、適用除外にした管理策が本当に除外していいものなのか、対象になる業務はないのかを確認したいのです。

4.よくある適用宣言書のミス

よくあるミスは、適用除外にできない項目を適用除外としてしまっているケースです。

例えば、「適用宣言書　管理策　⑼通信のセキュリティ」で、インターネットを活用し、メール等を使っていない企業はほぼいないと思いますので、この場合には適用除外できません。

管理策をやりたくないという発想で除外にするのは、審査時にも、適用にすべきと指摘されることが多いですので注意してください。

管理策の適用を除外するためには、明確な理由が求められます。

「認証を受ける事業では、管理策にある活動を全く行っていないため。」などの明確な理由がない場合は、適用除外とできないので注意してください。

5.まとめ

ISMSの適用宣言書は単なる形式的な書類ではなく、ISMSを取得するうえで非常に重要な役割を果たします。

ISMS適用宣言書の目的は以下の通りです。

1. 自社に必要な対策（管理策）を特定し、実施内容を明確にする
2. リスク対応の根拠と除外理由の正当化
3. セキュリティ体制の「見える化」を図る
4. PDCAサイクルを回す基準にする
5. ISO/IEC 27001認証取得の必須要件である

このようにISMS適用宣言書は、ISO27001を取得するために必須であり、

自社の効率的なリスク対策実施、外部へのアピールなどにつながります。

適用宣言書の作成に当たっては、2022年の規格改訂により、管理策は93項目へと整理されましたが、作成の基本ステップは変わりません。

まずは管理策の大枠を理解し、自社の業務内容に照らし合わせて必要な対策を選定、そして具体的なルールへと落とし込むことが大切です。