取引先からセキュリティチェックシートが届いたら
- 山崎行政書士事務所
- 5月6日
- 読了時間: 22分
何を準備すべきかを具体化
メタディスクリプション取引先からセキュリティチェックシート、情報セキュリティ確認書、委託先調査票が届いたとき、中小企業は何を準備すべきか。契約、個人情報、クラウド、委託先管理、事故対応、証跡資料の整え方を、企業法務とサイバーセキュリティの実務視点から解説します。
1. セキュリティチェックシートは「営業書類」ではなく「取引継続の審査資料」
取引先から届くセキュリティチェックシートは、単なるアンケートではありません。現在では、委託先審査、個人情報取扱業務の確認、クラウド利用確認、サプライチェーン管理、監査対応、契約更新判断の資料として使われます。
IPAの「情報セキュリティ10大脅威 2026」では、組織向け脅威の1位がランサム攻撃、2位がサプライチェーンや委託先を狙った攻撃、3位がAIの利用をめぐるサイバーリスクです。つまり、発注側企業は「自社だけ守ればよい」時代ではなく、取引先や委託先のセキュリティ状況まで確認せざるを得なくなっています。
さらに、経済産業省と内閣官房国家サイバー統括室は、サプライチェーン強化に向けたセキュリティ対策評価制度、いわゆるSCS評価制度の構築方針を2026年3月に公表し、2026年度末頃の制度開始を目指すとしています。この制度は、2社間の取引契約等において、委託元が委託先に適切な対策段階を提示し、実施状況を確認することを想定しています。
したがって、チェックシート対応は、情報システム担当者だけの作業ではありません。経営、法務、個人情報管理、クラウド管理、委託先管理、事故対応を横断する企業法務上の説明資料として扱う必要があります。
2. 最初にやるべきことは「すぐ回答」ではなく「回答体制の確定」
チェックシートが届くと、担当者が過去の回答例をコピーして急いで返送しがちです。しかし、これは非常に危険です。
「対応済み」と回答したにもかかわらず実際には設定されていない。「個人情報は取り扱わない」と回答したが、実際にはクラウド上に顧客担当者情報がある。「バックアップあり」と回答したが、復元テストをしたことがない。「再委託なし」と回答したが、利用しているSaaSや外部保守会社を把握していない。
このような回答は、後日、事故や監査が発生したときに、契約違反、信用低下、取引停止、損害対応の火種になります。
まずは次の5点を確認します。
最初に確認すること | 実務上の意味 |
回答期限 | いつまでに一次回答、補足資料提出、面談対応が必要か |
対象範囲 | 全社なのか、特定部署・特定業務・特定システムなのか |
取扱情報 | 個人情報、秘密情報、営業秘密、設計情報、認証情報を扱うか |
契約関係 | 業務委託、再委託、クラウド利用、保守契約が関係するか |
開示範囲 | どこまで詳細な情報を出してよいか、NDAはあるか |
セキュリティチェックシートは、**「はい」「いいえ」を埋める作業」ではなく、「自社が説明できる範囲を証拠とともに整理する作業」**です。
3. 回答前に必ず作るべき「対応チーム」
中小企業では、総務、情報システム、営業、経営者の誰か一人が回答してしまうことがあります。しかし、セキュリティチェックシートは内容が広いため、一人では正確に答えられません。
最低限、次の役割を決めてください。
役割 | 担当する内容 |
経営責任者 | 重要な未対応事項、費用負担、取引継続判断を決める |
回答責任者 | チェックシート全体の整合性、提出版の管理を行う |
IT・システム担当 | アカウント、端末、クラウド、バックアップ、ログを確認する |
個人情報管理担当 | 個人情報、委託、再委託、漏えい対応を確認する |
契約・法務担当 | 契約条項、秘密保持、再委託、事故報告義務を確認する |
現場責任者 | 実際の運用、例外対応、業務フローを確認する |
社長が関与すべきなのは、細かな技術設定ではありません。社長が見るべきなのは、**「できていない項目をどう扱うか」「取引先にどこまで約束するか」「いつまでに是正するか」**です。
4. チェックシートに回答する前に準備すべき基本資料
取引先からの質問に毎回ゼロから答えるのではなく、あらかじめ「提出用パッケージ」を作っておくと実務が安定します。
資料 | 内容 |
情報セキュリティ基本方針 | 経営者名で示す情報管理の基本姿勢 |
個人情報保護方針 | 個人情報の利用目的、管理、問い合わせ窓口 |
情報セキュリティ規程 | アカウント、端末、ネットワーク、クラウド、持出し、廃棄 |
個人情報保護規程 | 取得、利用、保管、委託、第三者提供、開示請求、漏えい対応 |
クラウド/SaaS利用基準 | 利用承認、MFA、ログ、共有リンク、退職者アカウント、データ削除 |
委託先管理規程 | 委託先選定、契約、再委託、定期確認、事故報告 |
インシデント対応規程 | 初動、連絡体制、封じ込め、報告、復旧、再発防止 |
生成AI利用規程 | 入力禁止情報、利用可能業務、出力確認、承認済みサービス |
教育記録 | 研修日、対象者、内容、未受講者対応 |
点検記録 | アカウント棚卸し、バックアップ復元テスト、委託先確認、クラウド設定確認 |
IPAが2026年3月に公開した「中小企業の情報セキュリティ対策ガイドライン」第4.0版では、バックアップの追加、SCS評価制度の基本的考え方の反映、人材確保・育成に関する付録追加など、最新環境を踏まえた改訂が行われています。中小企業がチェックシート対応の土台を作る際には、このガイドラインの付録にある基本方針、規程、診断ツールを活用するのが現実的です。
また、SECURITY ACTIONの二つ星は、「5分でできる!情報セキュリティ自社診断」と「情報セキュリティ基本方針」を策定・外部公開した上で、情報セキュリティ対策に取り組むことを宣言する制度です。ISMSやプライバシーマークを取得していない中小企業でも、まず対外説明の入口として使いやすい制度です。
5. チェックシートでよく聞かれる項目と準備すべき証跡
5-1. 組織体制・方針
よく聞かれる質問は、「情報セキュリティ方針はありますか」「責任者はいますか」「定期的な見直しをしていますか」というものです。
準備すべき証跡は次のとおりです。
質問項目 | 準備すべき証跡 |
情報セキュリティ方針 | 経営者承認済みの基本方針、公開ページ、改定履歴 |
責任者 | 体制図、責任者名、役割分担表 |
規程類 | 情報セキュリティ規程、個人情報保護規程、クラウド利用基準 |
定期見直し | 経営会議議事録、点検記録、内部監査記録、改善記録 |
ISMSでは、情報の機密性・完全性・可用性、いわゆるCIAを守るための体系的な仕組みが重視され、技術的対策だけでなく、教育・訓練や組織体制の整備も含まれます。ISMS認証は、その仕組みを顧客や取引先に客観的に示す手段にもなります。
ただし、ISMSを取得していない場合でも、「何もしていない」とは限りません。基本方針、規程、台帳、点検記録、教育記録があれば、現時点の管理状況と改善計画を説明できます。
5-2. アカウント・アクセス管理
チェックシートで最も重要な領域の一つが、アクセス管理です。
質問項目 | 準備すべき証跡 |
ID管理 | アカウント一覧、入社・異動・退職時の処理記録 |
権限管理 | 管理者権限一覧、権限付与申請、権限棚卸し記録 |
MFA | 多要素認証の設定画面、適用対象一覧 |
パスワード管理 | パスワードポリシー、共有ID禁止ルール |
退職者対応 | 退職時アカウント削除記録、貸与端末返却記録 |
ここで大切なのは、「多要素認証を導入しています」とだけ答えないことです。どのシステムに、どの範囲で、誰に対して適用しているかを説明できる必要があります。
例えば、次のように回答を分けます。
回答例 | 評価 |
「MFA対応済み」 | 不十分。範囲が不明 |
「Microsoft 365の管理者アカウント及び全従業員アカウントにMFAを適用しています」 | 説明可能 |
「基幹システムはMFA未対応ですが、VPN接続時にMFAを適用し、2026年9月までに基幹システム側のMFA導入を予定しています」 | 未対応部分を正直に説明し、改善計画を示している |
5-3. 端末・マルウェア対策
よく聞かれる質問は、「ウイルス対策ソフトは導入していますか」「EDRはありますか」「端末管理をしていますか」というものです。
質問項目 | 準備すべき証跡 |
ウイルス対策 | 導入製品一覧、適用端末数、更新状況 |
EDR/MDR | 導入範囲、監視対象、アラート対応手順 |
端末管理 | 貸与端末台帳、持込端末ルール、暗号化設定 |
パッチ管理 | OS・アプリ更新ルール、更新履歴 |
USB・外部媒体 | 利用制限ルール、持出し申請、廃棄記録 |
「EDRを導入していますか」と聞かれたとき、導入していない会社が「はい」と答えるのは絶対に避けるべきです。導入していない場合は、現状の代替策を示します。
例:「現時点ではEDRは未導入です。全社端末に統合型エンドポイント保護を導入し、定義ファイル自動更新、管理コンソールによる状態確認を行っています。重要端末から段階的にEDR導入を検討しています。」
このように、現状・代替策・改善予定を分けて書くことが重要です。
5-4. クラウド・SaaS管理
現在のチェックシートでは、クラウド利用に関する質問が非常に増えています。
質問項目 | 準備すべき証跡 |
利用クラウド | クラウド/SaaS台帳 |
保存データ | 個人情報、顧客情報、秘密情報の有無 |
管理者 | 管理者アカウント一覧 |
MFA | 管理画面・利用者アカウントのMFA設定 |
ログ | アクセスログ、操作ログの取得可否 |
共有設定 | 外部共有リンク棚卸し記録 |
契約 | 利用規約、DPA、SLA、データ削除条件 |
データ所在 | データセンター地域、国外移転の有無 |
個人情報保護委員会は、クラウドサービスを利用して個人データを取り扱う場合、クラウド利用が個人データ取扱いの委託に該当するかを判断し、委託に該当する場合は委託先への必要かつ適切な監督を行う必要があると注意喚起しています。また、サービス機能だけでなくセキュリティ対策を理解・確認し、役割や責任分担を規約や契約等で明確化することも求めています。
クラウド利用で最も危険なのは、「便利だから使っているが、誰が管理しているか分からない」状態です。チェックシートに答える前に、まずクラウド/SaaS台帳を作るべきです。
5-5. 個人情報管理
取引先が最も気にするのは、「当社の顧客情報や従業員情報をどのように扱うのか」です。
質問項目 | 準備すべき証跡 |
個人情報の有無 | 個人情報管理台帳 |
利用目的 | プライバシーポリシー、業務別利用目的一覧 |
保管場所 | システム、クラウド、紙媒体、外部委託先 |
アクセス権限 | 権限一覧、閲覧制限、ログ |
委託・再委託 | 委託先台帳、契約書、再委託承認記録 |
廃棄 | 削除記録、廃棄証明、媒体破棄記録 |
漏えい対応 | インシデント対応規程、報告フロー |
個人情報保護委員会は、漏えい等報告について、速報は発覚日から3〜5日以内、確報は原則30日以内、不正な目的で行われたおそれがある場合は60日以内と案内しています。報告対象には、要配慮個人情報、財産的被害のおそれ、不正目的のおそれ、1,000人超の漏えい等が含まれます。
プライバシーマーク付与事業者の場合は、PMK500上の事故等報告にも注意が必要です。PMK500では、事故等として漏えい、紛失、滅失・き損、改ざん、目的外利用・提供、不正利用、開示等の求め等の拒否、これらのおそれまで広く定められており、原則30日以内の報告、重大類型では概ね3〜5日以内の速報が求められます。
チェックシートで「個人情報漏えい時の報告体制はありますか」と聞かれた場合、単に「あります」と答えるのではなく、誰が発見し、誰に報告し、誰が委員会報告や本人通知の要否を判断するかまで確認しておく必要があります。
5-6. バックアップ・復旧
ランサムウェア対策として、バックアップは必ず聞かれます。
質問項目 | 準備すべき証跡 |
バックアップ対象 | サーバ、クラウド、業務システム、ファイル |
頻度 | 日次、週次、月次 |
保管場所 | オフライン、別クラウド、別拠点 |
保護 | 削除・改ざん防止、世代管理 |
復元テスト | 実施日、対象、結果、改善点 |
復旧順序 | 重要業務ごとの復旧優先順位 |
ここで重要なのは、「バックアップを取っているか」ではなく、戻せるかです。
回答例:「主要ファイルサーバは日次バックアップを取得し、30世代を保持しています。2026年4月に復元テストを実施し、任意フォルダの復旧を確認済みです。基幹システムについては、ベンダー保守契約に基づき月次で復旧手順を確認しています。」
「バックアップあり」だけでは、取引先は安心しません。復元テスト記録があるかどうかが重要です。
5-7. ログ・監視
ログ管理は、事故発生時の説明力に直結します。
質問項目 | 準備すべき証跡 |
ログ取得 | 取得対象システム、取得項目 |
ログ保存期間 | 保存期間、改ざん防止措置 |
監視 | アラート通知、監視担当、外部SOCの有無 |
調査 | 事故時のログ提出・保全手順 |
クラウドログ | 管理者操作ログ、アクセスログ、共有設定変更ログ |
「ログを取っている」と回答する場合は、どのログを、何日・何か月保存しているかを確認してください。ログがなければ、事故時に「漏えいしていない」とも「影響範囲は限定的」とも説明できません。
5-8. 委託先・再委託管理
チェックシートでは、「再委託していますか」「委託先を管理していますか」という質問が必ず出ます。
質問項目 | 準備すべき証跡 |
委託先一覧 | 委託先台帳、業務内容、取扱情報 |
契約 | 秘密保持、個人情報取扱、安全管理、事故報告 |
再委託 | 事前承認、再委託先一覧、同等義務 |
定期確認 | 委託先チェックシート、更新時確認 |
事故対応 | 委託先からの報告期限、調査協力、ログ提出 |
NISTのCybersecurity Framework 2.0に関するサプライチェーンリスク管理のクイックスタートガイドでも、CSFはサプライヤー要求事項を定義し、伝達するために活用できると説明されています。チェックシートは、まさに発注者が委託先に対してサイバーリスク要求事項を伝達・確認する手段の一つです。
委託先管理で重要なのは、チェックシートだけで終わらせないことです。回答内容を契約書、仕様書、個人情報取扱覚書、再委託承認書、事故報告条項に反映させる必要があります。
5-9. インシデント対応
チェックシートでは、「事故発生時の連絡体制はありますか」「取引先への報告期限は定めていますか」と聞かれます。
質問項目 | 準備すべき証跡 |
事故受付 | 社内窓口、休日夜間の連絡先 |
初動対応 | 端末隔離、ネットワーク遮断、証拠保全 |
報告判断 | 個人情報、取引先、行政、認証機関への報告要否 |
顧客連絡 | 通知文案、FAQ、広報窓口 |
再発防止 | 原因分析、是正措置、再発防止記録 |
訓練 | 机上訓練記録、参加者、改善点 |
回答例:「情報セキュリティインシデント対応規程を定め、第一報の受付窓口、経営者への報告、委託元への連絡、個人情報漏えい等報告の要否確認、証拠保全、復旧、再発防止の手順を定めています。2026年3月にランサムウェアを想定した机上訓練を実施しました。」
実際に訓練していない場合は、「訓練予定」と明記し、予定日を示す方が誠実です。
5-10. 生成AI利用
最近のチェックシートでは、生成AIに関する質問も増えています。
質問項目 | 準備すべき証跡 |
AI利用有無 | 利用サービス一覧、利用目的 |
入力禁止情報 | 個人情報、顧客情報、秘密情報、認証情報 |
承認制 | 承認済みAIサービス一覧 |
出力確認 | 人による確認ルール |
教育 | 生成AI利用研修、周知記録 |
回答例:「当社では生成AI利用規程を定め、個人情報、顧客情報、契約上の秘密情報、認証情報、未公開情報の入力を禁止しています。業務利用は承認済みサービスに限定し、出力結果は担当者が確認した上で利用する運用としています。」
AIを全面禁止にする必要はありません。重要なのは、何を入力してはいけないかを決めていることです。
6. 回答は「はい・いいえ」だけでなく、5区分で整理する
チェックシート対応で実務上使いやすいのは、次の5区分です。
回答区分 | 意味 | 回答例 |
対応済み | 実施済みで証跡がある | 「全従業員アカウントにMFAを適用済みです」 |
一部対応 | 範囲を限定して対応 | 「管理者アカウントはMFA適用済み、一般利用者は順次展開中です」 |
未対応・計画あり | 現時点では未対応だが期限付き計画がある | 「EDRは未導入ですが、2026年10月までに重要端末から導入予定です」 |
対象外 | 業務上該当しない | 「当社は決済情報を保存・処理していないため対象外です」 |
非開示 | セキュリティ上、詳細は出せない | 「詳細なネットワーク構成は非開示ですが、概要図及び管理方針を提示可能です」 |
特に「対象外」の使い方には注意が必要です。自社では処理していないが、利用しているクラウドや委託先が処理している場合は、本当に対象外とは限りません。
7. 取引先に出してよい情報、出しすぎてはいけない情報
セキュリティチェックシートへの回答では、透明性が重要です。しかし、出しすぎると逆にリスクになります。
出してよい情報
出してよい情報 | 例 |
方針・規程の概要 | 情報セキュリティ基本方針、個人情報保護方針 |
管理体制 | 責任者、担当部署、連絡窓口 |
対策概要 | MFA、バックアップ、端末管理、教育、委託先管理 |
証跡サマリー | 教育実施日、復元テスト実施日、点検実施日 |
認証・宣言 | ISMS、Pマーク、SECURITY ACTION、サイバー保険等 |
原則として出しすぎない情報
注意すべき情報 | 理由 |
詳細なネットワーク構成図 | 攻撃経路の把握に悪用されるおそれ |
管理者ID、IPアドレス、VPN情報 | 不正アクセスに悪用されるおそれ |
脆弱性診断結果の詳細 | 未修正箇所が外部に漏れるリスク |
ログの生データ | 個人情報・秘密情報を含む可能性 |
バックアップ保管場所の詳細 | ランサムウェア攻撃時の標的になり得る |
セキュリティ製品の詳細設定 | 防御回避に悪用される可能性 |
提出前に、秘密保持契約や目的外利用禁止の条件を確認し、必要に応じて「概要版」を提出します。
8. よくある難問への回答例
Q1. ISMSを取得していますか
取得していない場合に、「同等です」と安易に書くのは避けるべきです。
回答例「現時点でISMS認証は取得していません。情報セキュリティ基本方針、情報セキュリティ規程、個人情報保護規程、インシデント対応規程を整備し、年1回の点検及び従業員教育を実施しています。今後、取引要件及び業務範囲に応じてISMS認証取得を検討します。」
ISMS認証は、組織のISMSがISO/IEC 27001に基づいて適切に運用管理されていることを第三者が審査・証明するものです。取得していない場合は、取得していない事実を明確にした上で、現に運用している管理策と記録を示すべきです。
Q2. プライバシーマークを取得していますか
回答例「現時点でプライバシーマークは取得していません。個人情報保護方針、個人情報保護規程、個人情報管理台帳、委託先管理台帳、漏えい等対応手順を整備しています。個人データを取り扱う委託業務については、個別契約又は覚書により安全管理措置、再委託、事故報告、返還・削除を定めています。」
Pマークを取得していないこと自体が直ちに不適切という意味ではありません。問題は、個人情報管理の文書と記録があるかどうかです。
Q3. 脆弱性診断を実施していますか
回答例「公開Webサイトについては年1回の外部脆弱性診断を実施しています。社内システムについては、OS・ミドルウェアの更新管理、外部公開サービスの棚卸し、重要脆弱性情報の確認を行っています。新規公開システムについては、本番公開前の診断を原則としています。」
実施していない場合は、次のように書きます。
「現時点で第三者による脆弱性診断は未実施です。外部公開システムの棚卸し、不要ポート閉鎖、CMS・プラグイン更新管理を実施しており、2026年度内に主要Webサイトの診断実施を予定しています。」
Q4. 委託先に同等のセキュリティ管理を求めていますか
回答例「個人情報又は秘密情報を取り扱う委託先については、委託契約又は個人情報取扱覚書により、秘密保持、安全管理措置、再委託制限、事故報告、調査協力、契約終了時の返還・削除を定めています。主要委託先については、契約更新時にチェックシートで確認しています。」
ここで重要なのは、「同等」という抽象語を契約条項に落とし込むことです。
Q5. 事故発生時、何時間以内に報告できますか
回答例「当社は、取引先情報又は個人情報に影響するおそれのあるインシデントを認識した場合、速やかに社内責任者へ報告し、影響範囲を確認の上、契約で定められた窓口へ報告します。個人情報漏えい等に該当する可能性がある場合は、個人情報保護委員会への速報・確報の要否も確認します。」
契約で「24時間以内」「72時間以内」などが求められている場合は、社内で本当に実行できるか確認が必要です。休日夜間の窓口がないのに「24時間以内」と回答すると、事故時に履行できません。
9. チェックシート対応で絶対に避けるべき5つの行動
1. 過去回答のコピー
過去の回答が現在も正しいとは限りません。SaaS、委託先、担当者、クラウド設定、端末構成は変わります。
2. 「予定」を「対応済み」と書く
導入予定、検討中、見積取得中は、対応済みではありません。予定は予定として書き、期限を示します。
3. 「取引先に合わせて盛る」
一時的には通っても、監査や事故で必ず問題になります。回答書は、将来の証拠になります。
4. 技術情報を出しすぎる
相手が大企業でも、提出先や保管方法が不明なまま詳細構成図や脆弱性情報を出すのは危険です。
5. 未対応項目を放置する
未対応項目は、改善計画に変えるべきです。チェックシートは、弱点を可視化する機会でもあります。
10. セキュリティ要求と費用負担は、取引適正化の問題でもある
発注側から、高度なセキュリティ対策を求められることがあります。例えば、ISMS取得、Pマーク取得、EDR導入、脆弱性診断、ログ長期保存、専用環境構築、監査対応、24時間連絡体制などです。
もちろん、取引内容によっては必要です。しかし、要求水準が高い場合は、費用、工数、納期、契約金額への反映を協議すべきです。
2026年1月1日から、従来の下請法は中小受託取引適正化法、通称「取適法」として施行されています。公正取引委員会は、価格転嫁及び取引の適正化を図る改正であり、協議を適切に行わない一方的な代金決定、手形払等の禁止、従業員基準の追加、特定運送委託の追加などを案内しています。
また、公正取引委員会は、サプライチェーン全体のサイバーセキュリティ向上に関して、取引先である中小企業等が実施した対策費用について、価格交渉や費用負担をどのように行うかを独占禁止法・取適法との関係で整理するため、想定事例を公表しています。
旧下請法ガイドブックでも、親事業者が下請事業者にISO認証取得を要請し、その取得費用を考慮せず一方的に従来どおりの下請代金を据え置く事例は、買いたたきの観点で問題になり得るものとして示されていました。セキュリティ要求を出す側も、受ける側も、仕様、費用、協議記録を残すことが重要です。
11. SCS評価制度を理由にした営業トークには注意する
今後、セキュリティチェックシートはSCS評価制度の考え方に近づいていく可能性があります。しかし、現時点で注意すべき点があります。
経済産業省と内閣官房国家サイバー統括室は、SCS評価制度について、2026年度末頃の制度開始を予定している任意の制度であり、個社間の商取引を規制するものではなく、評価基準を達成するために特定のセキュリティ対策製品の導入が必須とされているものでもないと注意喚起しています。
したがって、取引先やベンダーから次のように言われた場合は、慎重に確認してください。
「この製品を入れないと取引できなくなる」「今すぐ評価を取らないと入札から外される」「SCS対応には当社サービスが必須」
必要なのは、制度名に振り回されることではありません。自社のリスク、取引内容、扱う情報、契約条件に応じて、合理的な対策と証跡を整えることです。
12. 受領後10営業日で行う実務フロー
1日目:受付・分類
チェックシートを受領したら、受付日、回答期限、提出先、対象業務、契約名、担当者を記録します。NDAの有無も確認します。
2〜3日目:質問項目を分解
質問を次のカテゴリに分けます。
カテゴリ | 例 |
方針・体制 | 基本方針、責任者、規程 |
技術対策 | MFA、端末、パッチ、EDR、ログ |
個人情報 | 台帳、委託、漏えい対応 |
クラウド | SaaS、データ所在、共有設定 |
委託先 | 再委託、契約、チェック |
事故対応 | 連絡体制、報告、訓練 |
認証 | ISMS、Pマーク、SECURITY ACTION |
生成AI | 入力禁止情報、承認済みサービス |
4〜6日目:証跡を集める
規程、台帳、ログ、スクリーンショット、契約書、教育記録、点検記録、バックアップ記録を集めます。証跡がない項目は「実施しているが証明できない」状態です。チェックシート対応では、ここが最も問題になります。
7日目:未対応項目を整理
未対応項目は、次のように分類します。
区分 | 対応 |
すぐ直せる | MFA設定、退職者アカウント削除、共有リンク棚卸し |
30日以内 | 基本方針作成、台帳整備、教育記録作成 |
90日以内 | インシデント訓練、復元テスト、委託先契約見直し |
予算化が必要 | EDR、脆弱性診断、SOC、ISMS取得 |
8日目:回答案を作る
回答は、事実、対象範囲、証跡、改善予定をセットで書きます。曖昧な「対応済み」は避けます。
9日目:経営・法務確認
次の点を確認します。
事実と異なる回答がないか
契約上の義務を超えた約束をしていないか
秘密情報を出しすぎていないか
未対応項目の改善期限は実行可能か
追加費用が必要な要求を安易に受けていないか
10日目:提出・保管
提出版、添付資料、提出日、提出先、回答者、承認者を記録します。次回回答時のために、回答根拠も社内で保存します。
13. すぐに整えるべき「最低限の10点セット」
取引先からのチェックシート対応に備えるなら、まず次の10点を整えてください。
優先 | 整備するもの | 目的 |
1 | 情報セキュリティ基本方針 | 経営者の姿勢を示す |
2 | 個人情報保護方針・規程 | 個人情報管理を説明する |
3 | クラウド/SaaS台帳 | どのサービスに何の情報があるか把握する |
4 | アカウント・権限台帳 | 管理者権限、退職者アカウントを管理する |
5 | 委託先管理台帳 | 再委託、契約、取扱情報を把握する |
6 | バックアップ復元テスト記録 | 戻せることを証明する |
7 | 教育記録 | 従業員への周知を証明する |
8 | インシデント対応手順 | 事故時の連絡・判断を明確にする |
9 | 生成AI利用ルール | 情報入力リスクを管理する |
10 | 回答根拠管理表 | チェックシート回答の証跡を残す |
この10点があれば、多くのチェックシートに対して、少なくとも「現状を説明できる」状態になります。
14. 回答根拠管理表を作る
チェックシート回答のたびに、次の表を作っておくと次回以降が非常に楽になります。
No. | 質問 | 回答 | 根拠資料 | 所管部署 | 最終確認日 | 改善予定 |
1 | 情報セキュリティ方針はあるか | はい | 情報セキュリティ基本方針 | 総務 | 2026/4/1 | 年1回見直し |
2 | MFAを導入しているか | 一部対応 | MFA設定一覧 | IT | 2026/4/10 | 2026/9全社展開 |
3 | 復元テストをしているか | はい | 復元テスト記録 | IT | 2026/3/15 | 半期ごと実施 |
4 | 委託先管理をしているか | はい | 委託先台帳、契約書 | 法務 | 2026/4/5 | 更新時再確認 |
5 | 生成AI利用ルールはあるか | はい | 生成AI利用規程 | 総務 | 2026/4/20 | 研修実施予定 |
この表があると、回答の一貫性が保てます。前回は「はい」、今回は「未対応」といった矛盾も防げます。
15. まとめ:チェックシート対応は「会社の説明力」を整える機会
取引先からセキュリティチェックシートが届いたとき、最も重要なのは、良く見せることではありません。
重要なのは、次の5点です。
事実に基づいて回答する
証跡を示せる状態にする
未対応項目は改善計画にする
秘密情報を出しすぎない
契約・個人情報・クラウド・委託先・事故対応を一体で整える
セキュリティチェックシートは、取引先からの要求であると同時に、自社の弱点を可視化する診断票でもあります。
山崎行政書士事務所では、行政書士として対応できる範囲で、セキュリティチェックシート対応、情報セキュリティ基本方針、個人情報保護規程、クラウド利用基準、生成AI利用規程、委託先管理規程、インシデント対応規程、個人情報取扱覚書、業務委託契約書、提出用セキュリティ概要資料の整備を支援しています。
紛争性のある交渉、損害賠償、訴訟対応、法的代理、専門的なフォレンジック調査、脆弱性診断、SOC運用等が必要な場合は、弁護士、IT専門事業者、情報処理安全確保支援士等と連携し、取引先に説明できる実効性ある体制づくりを支援します。
コメント