FAQISMS適用宣言書に関するよくある質問

  • ISMS適用宣言書って何ですか?

    ISMS適用宣言書とは、管理策のうち自社で適用・除外する項目や除外理由を記した文書のことです。

    ISOプロ編集部

    月間10万PV越えの業界最大級ISO取得・運用情報サイト「ISOプロ」の編集部。ISO取得や運用に関する悩みや基礎知識を初心者の方にも分かりやすくお届けします。サイトユーザー様がISOに関わる業務を円滑に進められるよう、有益で信頼できる情報発信に努めて参ります。

  • ISMS適用宣言書って、ISMS認証の取得に必要ですか?

    ISMS適用宣言書は、ISMS認証取得するために必須の文書です。

    ISOプロ編集部

    月間10万PV越えの業界最大級ISO取得・運用情報サイト「ISOプロ」の編集部。ISO取得や運用に関する悩みや基礎知識を初心者の方にも分かりやすくお届けします。サイトユーザー様がISOに関わる業務を円滑に進められるよう、有益で信頼できる情報発信に努めて参ります。

ISMS認証ISO27001)を取得する際には、ISMS適用宣言書の作成が欠かせません。社内でのセキュリティ体制の管理だけでなく、外部にも自社のセキュリティ体制を示すうえで重要な文書です。

しかし、はじめてISMS認証の取得に臨む企業にとっては、「そもそも何を書けばよいのか」「どの管理策を選べばよいのか」と悩むケースも少なくありません。

そこで、この記事ではISMS適用宣言書の概要や必要性、作成の流れを解説します。また作成の具体例や書式サンプルも紹介しますので、文書作成の参考にしてください。

ISMS適用宣言書とは?

ISMS適用宣言書とは、ISO27001(ISMS)の附属書Aに定められた管理策のうち、「自社で適用する管理策」と「適用しない管理策」、そしてその判断理由を明確に示した文書です。

附属書Aには、情報セキュリティ管理策の一覧(93個)が記載されていますが、そのすべてを適用する必要はありません。自社の事業内容やリスク状況に応じて必要な管理策を選定し、その根拠を整理したものがISMS適用宣言書です。

ISO27001の要求事項によって、ISMS適用宣言書は必ず作成することが求められています。

ISMS適用宣言書の必要性

ISMS適用宣言書を作成する必要性は、「組織内外に、情報セキュリティに対する方針や実施する対策を明確に示すこと」にあります。

具体的には、ISMS適用宣言書は以下の3つの役割を担います。

自社のセキュリティ対策を「見える化」する
どの管理策を採用・除外したかを明確にし、情報セキュリティ対策の全体像を整理できます。
管理策選定の根拠を示す
リスクアセスメントの結果に基づいて管理策を選んでいることを証明し、「なぜその対策を行うのか」を説明できるようになります。
審査・監査への対応資料となる
内部監査や外部審査において、ISMSが適切に構築・運用されていることを示す基礎資料として機能します。

つまりISMS適用宣言書は、自社のリスクに基づいて適切に管理策を選定していることを証明する、いわば「セキュリティ対策の設計図」ともいえます。内容に不備があると審査で指摘を受けるリスクもあるため、事業の実情に沿って正確に作成・管理することが重要です。

累計ダウンロード10,000件突破!ISO27001丸わかり説明資料

ISMS適用宣言書に記載する内容

ISMS適用宣言書には、附属書Aに定められている93項目の管理策について、自社がどのように取り扱うかを明確に記載します。

そもそも管理策とは、「附属書Aに記載されている、情報セキュリティリスクを低減するための対策」です。

ISMS適用宣言書には、93個の管理策を「適用する管理策」と「除外する管理策」に分けて記載します。具体的には、以下の4項目について示す必要があります。

  • 適用する管理策とその規格番号
  • 適用する理由
  • 除外する管理策とその規格番号
  • 除外する理由

規格番号の順番どおりに記載する

管理策を適用・除外する判断基準

管理策を適用・除外するかどうかの判断は、基本的に自社で実施したリスクアセスメントの結果を基準に判断します。

自社の事業内容、取り扱う情報、業務プロセス、IT環境などを踏まえ、どのようなリスクが存在するのかを整理し、そのリスクに対応するために必要な管理策を選択します。

一方で、事業内容やシステム構成上、明らかに該当しない管理策については除外が可能です。ただし、除外する場合でも「該当しない理由」を論理的に説明できなければなりません。

例えば、「管理策5.23:クラウドサービスの利用における情報セキュリティ」を除外する場合、「クラウドサービスを利用していないため」といった除外理由が考えられます。

ISMS適用宣言書作成の流れ

ISMS適用宣言書は、「管理策の把握→選定→文書化」という3つのステップで作成します。各ステップを順に進めることで、審査にも耐えうる実効性のある適用宣言書を完成させることができます。

1.管理策を把握する

まず、ISO/IEC 27001の附属書A(Annex A)に記載されている管理策の内容を把握することが出発点です。

現行のISO/IEC 27001:2022版では、管理策の数が114個から93個に整理・統合されており、以下の4つのカテゴリに再編されています。

組織的な対策
(37項目)
適切にISMSを構築・運用するための対策
人的な対策
(8項目)
従業員によるミスや内部不正など、人によるリスクへの対策
物理的な対策
(14項目)
不法侵入や災害などによるリスクから、建物や設備を保護するための対策
技術的な対策
(34項目)
ウイルス対策や不正アクセスなどによるリスクから、ソフトウェアなどを保護するための対策

【2022年改訂のポイント】
2022年の改訂では、旧版(2013年版)から以下の変更が加えられています。既にISMS認証を取得済みの場合も、この改訂への対応が必要です。

  • 管理策数が114個→93個に削減・統合
  • カテゴリが14分類→4分類に再編
  • 11個の新規管理策が追加(例:脅威インテリジェンス、クラウドサービスの利用など)

まずはこれらの管理策の全体像を把握したうえで、次のステップへ進みましょう。

関連記事:【2023最新版】ISO/IEC27001(ISMS)の改訂内容とは?

2.適用・除外する管理策を選定する

管理策の内容を把握したら、それぞれの項目において「適用する」か「除外する」かを選択します。
管理策を適用する場合には、自社で運用する方法やコストなどを具体的に検討しましょう。93項目中、0~10項目程度が適用除外となり、ほとんどの管理策は実行することが一般的です。

3.適用宣言書に落とし込む

適用・除外する管理策が決まったら、ISMS適用宣言書を作成します。除外する場合には、その理由もあわせて記載することが必要です。

【サンプル:ISMS適用宣言書の構成例】

  • 管理策番号:附属書Aの規格番号(例:5.1、5.23、8.1 など)
  • 管理策名称:各番号に対応する管理策の名称(例:情報セキュリティのための方針群)
  • 適用/除外:当該管理策を自社で適用するか、除外するかの区分
  • 理由:適用または除外を選択した根拠(リスクアセスメント結果に基づく具体的な説明)
  • 実施状況(任意):適用と判断した管理策について、現時点での運用状況や対応する社内規程・手順書の有無

またISMS適用宣言書を作成するとともに、管理策内容を実際に運用できるようにルール・マニュアル、手順書を明確にしましょう。

累計ダウンロード10,000件突破!ISO27001丸わかり説明資料

【サンプル】ISMS適用宣言書の具体例

ISMS適用宣言書の具体例を作成しましたので、自社で作成する際の参考にしてください。
ISMS適用宣言書サンプル

審査でも評価につながるISMS適用宣言書を作成するには、「自社のリスクに基づいた合理的な意思決定を文書化すること」が重要です。

ここでは、ISMS適用宣言書を作成する際の注意点を解説します。

適用除外がある場合、合理的な理由が必要

附属書Aの93の管理策は、すべてを必ず適用する必要はありません。ただし、除外する場合には合理的な理由を明確に示すことが求められます。

例えば、以下のような理由があれば適用除外する合理的な理由として認められます。

  • 該当する業務が存在しない
  • 事業内容上、対象となるリスクがない

一方で、「工数をかけたくない」「コストを抑えたい」といった理由は認められません。審査では除外の妥当性を説明できるように、第三者に説明するための根拠を整理しておくことが重要です。

リスクアセスメントとの整合性を保つ

ISMS適用宣言書は、リスクアセスメントの結果に基づいて作成する必要があります。
管理策の選定とリスク評価の内容に一貫性があるかどうかは、審査で特に重視されるポイントです。一貫性がない場合、ISMS適用宣言書の信頼性が損なわれる可能性があります。

例えば、リスクアセスメントで「物理的なセキュリティリスクが高い」と評価されたにもかかわらず、物理的アクセス制御に関する管理策を除外してしまうと、整合性が取れていないと判断される可能性があります。

またリスクアセスメントを実施した結果、「リスク受容(リスクが発生した際の影響を受け入れること)する」「自社に該当しない」と判断した場合には、管理策を除外することも可能です。

関連記事:ISMS(ISO27001)の適用範囲の決め方とは?ポイントを解説
関連記事:ISO27001(ISMS)情報セキュリティリスクアセスメントとは?目的や手順を解説

審査でよくあるISMS適用宣言書の不備

ISMS適用宣言書の記載内容に不備があると、審査員から「整合性が取れていない」「説明が不十分」などと指摘を受ける可能性があります。

審査でよくあるISMS適用宣言書の不備をまとめたので、参考にしてください。

ケース1:除外管理策の理由が不明確

「自社には該当しないため」といった曖昧な表現だけでは不十分です。どのような業務体制や業務範囲から判断して除外したのかについて、具体的な根拠を明示する必要があります。

ケース2:リスク評価結果との関係性が不明確

管理策の採用・除外理由が、リスクアセスメント結果と結び付いていないケースです。ISMS適用宣言書は、リスク評価の結果を反映させる必要があります。

ケース3:ISMS適用宣言書と実態が一致していない

ISMS適用宣言書に「適用」と記載しているにもかかわらず、現場で運用されていない場合は不適合となる可能性があります。文書と実務の整合性は必ず確認が必要です。

ISMS適用宣言書を見直す際のポイント

ISMS適用宣言書は一度作成して終わりではなく、定期的な見直し・更新が求められる文書です。
情報セキュリティを取り巻く環境は、IT技術の進化や社会のニーズ、業務内容の変化により、変動します。そのため、組織の現状やリスク評価結果に合わせてISMS適用宣言書を最新の状態に保つことが重要です。

ここでは、ISMS適用宣言書を見直すタイミングや確認すべきポイントについて解説します。

ISMS適用宣言書を見直すタイミング

ISMS適用宣言書は、少なくとも年に1回、または以下のような状況が発生した際に見直すことが大切です。

  • 内部監査やマネジメントレビューの実施後
  • 新たなリスクや脅威が発見されたとき
  • 事業内容・組織体制の変更時
  • 規格や法令の改訂があった場合

こうしたタイミングで見直すことで、審査時に不適合を指摘されにくくなるだけでなく、文書内容と現場での運用の乖離を防ぎます。

見直す際の確認ポイント

ISMS適用宣言書を見直す際には、以下のポイントを確認しましょう。ISMS適用宣言書の有効性を維持することにつながります。

  • 会社の現状に適しているか
  • リスクアセスメント結果との整合性が取れているか
  • 発生したインシデントや監査結果が反映されているか
  • 実際の運用で確実に実施されているか

定期的な見直しを通じて、ISMS適用宣言書を「実効性のある文書」として維持することが、組織のISMSの継続的改善にも寄与します。

ISOプロ編集部

月間10万PV越えの業界最大級ISO取得・運用情報サイト「ISOプロ」の編集部。ISO取得や運用に関する悩みや基礎知識を初心者の方にも分かりやすくお届けします。サイトユーザー様がISOに関わる業務を円滑に進められるよう、有益で信頼できる情報発信に努めて参ります。

ISMS適用宣言書の見直しで見落としがちなのが、「文書と実運用のズレ」です。実際の審査では、適用宣言書に「適用する」と記載しているにもかかわらず、現場での運用が伴っていない場合、不適合を指摘される原因になります。

作成・更新のたびに、担当部門へのヒアリングや現場確認を合わせて行うことをおすすめします。

累計ダウンロード10,000件突破!ISO27001丸わかり説明資料

ISMS適用宣言書に関するよくある質問

ISMS適用宣言書の作成・運用にあたって、担当者からよく寄せられる質問をまとめました。作成前の疑問解消にお役立てください。

ISMS適用宣言書はいつ作成すべき?

リスクアセスメントの完了後、審査登録の前までに作成します。
ISMS適用宣言書は、リスクアセスメントの結果を受けて作成するものです。どのようなリスクが自社に存在するかを特定・評価したうえで、それに対応する管理策を選定し、文書に落とし込む流れになります。

作成が完了していない状態では審査登録を受けることができないため、ISMS構築プロセスの中盤〜終盤にかけて着手するのが一般的です。

すべての管理策を適用する必要がある?

すべてを適用する必要はありませんが、除外には合理的な理由が必要です。
ISO/IEC 27001:2022の附属書Aには93個の管理策が定められていますが、自社の事業内容やリスク状況に照らして該当しない項目については除外が認められています。

一般的には0〜10項目程度が除外となるケースが多いです。

ISMS適用宣言書は外部に公開する義務はある?

ISMS適用宣言書は、外部への公開義務はありません。
ISO/IEC 27001では、ISMS適用宣言書を一般に公開することは義務付けられていません。一方で、審査機関による審査では提示が求められます。また、取引先から提出を依頼されるケースもありますが、その場合は契約内容や取引条件に応じて対応を判断することになります。

一方で、情報セキュリティへの取り組みの透明性を高める目的で、自社のWebサイト上で適用宣言書を公開している組織もあります。ただし、適用宣言書には自社のセキュリティ対策に関する情報が含まれるため、一般的には社外へ公開せず、必要に応じて審査機関や取引先へ開示する運用が多く採られています。

まとめ

この記事ではISMS適用宣言書の概要や必要性、作成の流れを解説しました。

現在ISO27001の管理策は93個にわたり提示されています。これら一つひとつについて、自社のルールと照らし合わせて、適合・除外を決めていくことが必要です。そのため自社のルールだけでなく管理策に対する理解も求められます。

ISMS適用宣言書の作成に不安がある場合は、ISMSの取得サポートをプロのコンサルに相談することがおすすめです。

累計ダウンロード10,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ