１．セキュリティチェックシートとは

セキュリティチェックシートとは、取引先がセキュリティ上必要な対策を講じているか、
ルールや仕組みを定めているかなどを確認するためのものです。
つまり、自社のセキュリティ対策の状況を、確認するためのものです。
内容は様々ですが、一般的な項目としては下記の通りです。

・社内の役割体制
・社内の作業環境
・PCの運用方法
・アクセス権の管理
・バックアップ

業務にもよりますが、物理的な項目だけでなく、技術的な項目も含まれ、
チェック項目は多岐に渡るのが一般的です。

２．セキュリティチェックシートを書くにあたって

セキュリティチェックシートは自社で書かなければなりません。
一般的には「社内の情報システムの責任者」が取りまとめることになります。

その項目をすべて正しく埋めるには、社内の状況を網羅することが重要です。
専門的な知識を必要とするだけでなく、直接的にセキュリティにかかわらないようなチェック項目も含まれるため、社内調査には非常に多くの時間と労力を使います。

責任者といえど、社内の状況全てを把握し、シートに記載することは、とても困難だと考えられます。

３．セキュリティチェックシートの書き方・注意点

セキュリティチェックシートの項目は取引先により様々ですが、項目は数多く設定されています。
先ほども少し触れましたがチェック項目は物理的なものから技術的なものまで含まれます。

一つ一つに対し現場を見たり、規程や手順書の確認、PCの設定も確認します。
取引先から求められるものを用意できるように項目をよく確認しチェックしましょう。
また、証跡（エビデンス）を残すようにしましょう。

〇✕だけ回答しても先方から返されることが多いため、備考欄に証跡を残すようにし、
先方にとってわかりやすい記載の仕方も書き方の重要なポイントです。
１．で挙げた例をもとに書いてみましょう。

例)
・社内の役割体制　：〇：体制図
・社内の作業環境　：〇：業務規程
・PCの運用方法　 ：〇：PC運用規程
・アクセス権の管理：〇：管理一覧
・バックアップ　　：〇：ログ

４．労働環境の変化によるセキュリティチェックシートの変化

コロナ禍によるテレワークの普及や電子化の流れからクラウドサービスを利用する企業が増えています。
そういった労働環境の変化によりセキュリティチェックシートの内容も変化し、複雑になってきています。

一度、回答して完了というわけではなく、毎年その時代に合わせたセキュリティチェックシートの回答を、
会社ごとに行わなくてはいけないということになります。

５．セキュリティチェックシートが届いたらISMS認証を検討すべき

ここまで読んでいただき、セキュリティチェックシートがどれだけ面倒で、
煩わしいものか、理解して頂けたのではないでしょうか。

では、これを簡単にすることができないのか。答えは「できる」です。
セキュリティチェックシートの項目はISMSの要求事項を基に作られているケースが多い為、ISMSを認証することでセキュリティチェックシートの要件を満たすことができます。

つまり、煩わしいセキュリティチェックシートを省略できるケースが多いということです。
そのため、「セキュリティチェックシートが届いたらISMS認証をすべき」と言えます。

ISMS認証の概要についてはこちらの記事で詳しく説明しております。
ISMS(ISO27001)認証について徹底解説

６．なぜISMS認証取得企業が増えているのか？

ISMS認証取得企業はここ数年で爆発的に増えています。
上記の通り、セキュリティチェックシートの回答を簡単にするため、という理由はもちろんありますが、
そのほかにも、昨今の情報セキュリティに対するニーズや顧客要求の変化、社会情勢の変化やセキュリティリスクの多様化等があります。

ISMS認証を取得することで、こういった課題解決の選択肢の一つと考えているケースが多いです。

すでにISMS認証を検討されている方は、こちらのコラムをご参考ください。取得方法について解説しております。
【初心者の方必見】ISMS取得スケジュールを7つのステップで解説

まとめ

セキュリティチェックシートは非常に項目が多く、そのチェック内容も多岐にわたります。
1個ずつチェックをしていくことも可能ですが、ISMS認証取得をすることで、これを省略することができます。
ISMS認証取得はチェックシートを省略できるうえに信頼度も上げられる、非常に有効な手段だと思います。

ぜひ弊社とISMS認証取得を目指してみませんか。認証や運用のサポートも実施させていただきます。