社員10名の会社でも必要な情報管理ルール
- 山崎行政書士事務所
- 5月6日
- 読了時間: 15分
小規模企業でも必要な最低限の規程・台帳
メタディスクリプション社員10名規模の小規模企業でも、個人情報、顧客情報、クラウド、アカウント、生成AI、委託先、事故対応のルールは必要です。大企業のような分厚い規程ではなく、実際に運用できる最低限の規程・台帳・記録を、企業法務とサイバーセキュリティの実務視点から解説します。
1. 「うちは社員10名だから大丈夫」は、最も危ない思い込み
社員10名の会社では、法務部も情報システム部もないことが普通です。社長、総務、営業、現場担当者が、契約書、顧客情報、見積書、請求書、クラウドストレージ、メール、チャット、生成AI、会計ソフトを兼務で扱っています。
しかし、サイバー攻撃や情報漏えいは、会社の規模を見て遠慮してくれません。IPAの「情報セキュリティ10大脅威 2026」では、組織向け脅威の1位がランサム攻撃、2位がサプライチェーンや委託先を狙った攻撃、3位がAIの利用をめぐるサイバーリスク、4位がシステムの脆弱性を悪用した攻撃とされています。小規模企業でも、取引先のシステム、クラウド、メール、委託業務を通じて、これらの脅威に直面します。
むしろ、社員10名規模の会社ほど危険なのは、情報管理が「人の記憶」と「その場の判断」に依存しやすいことです。誰がどのクラウドを使っているのか、退職者のアカウントが残っていないか、顧客情報をどこに保存しているのか、事故時に誰へ連絡するのかが、台帳や記録で確認できない会社は、事故が起きた瞬間に対応が止まります。
2. 小規模企業に必要なのは「分厚い規程」ではなく「動くルール」
社員10名の会社に、大企業と同じ50ページ、100ページの規程集をそのまま入れても、現場では使われません。必要なのは、次の4つを説明できる状態です。
確認すべきこと | 社員10名企業での実務上の意味 |
何を守るか | 顧客情報、従業員情報、契約書、見積、請求、営業秘密、ID・パスワード |
どこにあるか | PC、スマートフォン、クラウド、紙ファイル、メール、チャット、外部委託先 |
誰が扱うか | 担当者、管理者、外部委託先、再委託先 |
事故時にどう動くか | 誰に報告し、何を止め、どの記録を残し、誰が取引先・顧客へ説明するか |
ISMSの考え方では、情報セキュリティは機密性・完全性・可用性を守るための体系的な仕組みであり、技術的対策だけでなく、従業員教育や組織体制の整備も含むものとされています。社員10名の会社でも、この考え方はそのまま使えます。
つまり、小規模企業の情報管理ルールは、**「社長と従業員が実際に守れる短い規程」+「現状を見える化する台帳」+「運用した証拠となる記録」**で十分です。ただし、この3つは必ずセットで整備する必要があります。
3. まず整えるべき最低限の規程・ルール
社員10名規模の会社であれば、最初から細かく分けすぎる必要はありません。実務上は、次の7つを「情報管理規程」として一つにまとめ、別紙で台帳・チェックリストを付ける方法が使いやすいです。
最低限の規程・ルール | 内容 |
情報セキュリティ基本方針 | 社長名で、会社として情報を守る方針を明示する |
情報管理規程 | 情報の分類、保存、持出し、廃棄、共有、社外送信を定める |
個人情報取扱ルール | 取得、利用目的、保管、委託、第三者提供、開示請求、漏えい対応を定める |
アカウント・権限管理ルール | ID、パスワード、多要素認証、管理者権限、退職者アカウントを定める |
クラウド・SaaS利用ルール | 利用承認、保存データ、共有リンク、管理者、ログ、退会時削除を定める |
生成AI利用ルール | 入力禁止情報、利用可能業務、出力確認、承認済みサービスを定める |
インシデント対応手順 | 誤送信、紛失、不正アクセス、ランサムウェア時の初動を定める |
ポイントは、規程名を立派にすることではありません。例えば「情報管理規程」の中で、次のように短く明確に書くことが重要です。
「顧客情報、個人情報、契約書、見積情報、認証情報は社外秘とする」「社外秘情報は、会社が承認したクラウド又は社内端末以外に保存しない」「個人情報を含むファイルを社外送信する場合は、送信先、添付ファイル、宛名を確認する」「退職者のアカウントは退職日までに停止する」「不審メールを開いた場合、端末を操作し続けず、直ちに責任者へ報告する」「生成AIに個人情報、顧客情報、契約上の秘密情報、認証情報を入力しない」
社員10名の会社では、難しい表現よりも、現場が迷わない表現の方が強い規程になります。
4. 最低限作るべき台帳
規程は「決めたこと」です。台帳は「今どうなっているか」です。小規模企業では、台帳がないままクラウドや端末が増え、数年後に誰も全体像を説明できなくなることがよくあります。
最初に作るべき台帳は、次の8つです。
台帳 | 記載項目 |
情報資産台帳 | 重要データ、保存場所、管理者、バックアップ有無、重要度 |
個人情報管理台帳 | 取得元、利用目的、保存場所、担当者、保管期間、廃棄方法 |
クラウド/SaaS台帳 | サービス名、利用目的、保存データ、管理者、MFA、ログ、契約状況 |
アカウント・権限台帳 | 利用者、システム名、権限、管理者権限、MFA、最終確認日 |
端末・媒体台帳 | PC、スマートフォン、USB、外付けHDD、貸与者、暗号化、返却状況 |
委託先台帳 | 委託先名、委託内容、渡す情報、契約有無、再委託、事故連絡先 |
契約書台帳 | 契約名、相手方、締結日、更新日、秘密保持、個人情報条項、事故報告条項 |
事故・ヒヤリハット台帳 | 発生日、内容、影響範囲、初動、報告先、再発防止策 |
個人情報保護委員会のガイドラインでも、個人データの取扱状況を確認する手段として、個人情報データベース等の種類・名称、個人データの項目、責任者・取扱部署、利用目的、アクセス権を有する者等を明確化することが示されています。また、ログイン実績、アクセスログ、削除・廃棄記録などにより運用状況を検証可能にする考え方も示されています。
社員10名の会社では、最初はExcelやスプレッドシートで十分です。大切なのは、台帳を完璧に作ることではなく、「どこに何があるか分からない状態」から抜け出すことです。
5. 個人情報ルールは、社員10名でも必須
「顧客名簿は少ないから個人情報保護法は関係ない」と考えるのは危険です。政府広報オンラインは、個人情報保護法について、個人情報を取り扱う全ての事業者や組織が守らなければならない共通ルールと説明しており、2015年改正・2017年全面施行により、5,000人分以下の個人情報を扱う小規模事業者も対象化されたと説明しています。
また、個人情報保護委員会のガイドラインは、個人データの安全管理措置について、事業の規模や性質、個人データの取扱状況、媒体の性質等に起因するリスクに応じて必要かつ適切な内容とすべきものとしています。従業員100人以下の中小規模事業者についても、安全管理措置を講じる必要があることを前提に、円滑に義務を履行するための手法例が示されています。
社員10名の会社で最低限決めるべき個人情報ルールは、次のとおりです。
項目 | 最低限決めること |
取得 | 何のために取得するかを明確にする |
利用 | 利用目的以外に使わない |
保存 | 保存場所を決め、個人PC・私物クラウドに保存しない |
閲覧 | 必要な人だけが見られるようにする |
委託 | 税務、労務、配送、システム保守等の委託先を台帳化する |
廃棄 | 保管期間経過後の削除・シュレッダー・廃棄記録を残す |
事故 | 誤送信、紛失、不正アクセス時の報告先を決める |
プライバシーマーク付与事業者や、これから取得を目指す会社ではさらに注意が必要です。PMK500では、漏えい、紛失、滅失・き損、改ざん、目的外利用・提供、不正利用、これらのおそれまで事故等に含まれ、原則30日以内の報告や、重大類型で概ね3〜5日以内の速報が定められています。
6. クラウド/SaaS台帳は、小規模企業ほど重要
社員10名の会社では、便利だからという理由でクラウドサービスが増えがちです。会計、勤怠、給与、チャット、ファイル共有、CRM、メール配信、電子契約、生成AIなど、気づけば多くのサービスに会社情報が分散しています。
個人情報保護委員会は、クラウドサービスを利用して個人データを取り扱う場合、その利用が個人データの取扱いの委託に該当するかを判断し、委託に該当する場合は委託先に対する必要かつ適切な監督を行う必要があると注意喚起しています。また、サービスの機能やサポート体制だけでなく、セキュリティ対策を理解・確認し、役割や責任分担を規約や契約等で客観的に明確化することも求められています。
クラウド/SaaS台帳には、最低限、次を記録してください。
項目 | 確認内容 |
サービス名 | 何のクラウドを使っているか |
利用目的 | 何の業務で使っているか |
保存データ | 個人情報、顧客情報、契約書、営業秘密の有無 |
管理者 | 誰が管理者権限を持っているか |
MFA | 多要素認証が設定されているか |
共有設定 | 外部共有リンクが放置されていないか |
ログ | アクセスログ・操作ログが確認できるか |
契約・規約 | データ削除、障害時対応、委託・再委託の条件 |
退職時処理 | 退職者アカウントをいつ停止するか |
社員10名の会社では、「誰が契約したか分からないSaaS」「退職者が管理者のままのクラウド」「共有リンクで外部公開されたフォルダ」が特に危険です。
7. アカウント・権限管理は、最も費用対効果が高い対策
サイバー事故の現場では、管理者アカウントの侵害、退職者アカウントの残存、共有ID、弱いパスワード、MFA未設定が大きな問題になります。社員10名の会社では、「面倒だから全員管理者」「共通IDでログイン」「パスワードをメモで共有」という運用が起こりがちです。
最低限のルールは次のとおりです。
項目 | 最低限のルール |
共有ID | 原則禁止。やむを得ない場合は責任者と利用範囲を記録 |
管理者権限 | 社長・管理責任者・IT担当など最小限に限定 |
MFA | メール、クラウド、会計、管理者アカウントには必須 |
パスワード | 長く、推測されにくく、使い回さない |
退職時 | 退職日までにメール、クラウド、業務システム、VPNを停止 |
棚卸し | 少なくとも半年に1回、アカウント一覧を確認 |
ここは高価なシステムを買う前に必ず整えるべき領域です。アカウント管理が崩れている会社に高額なセキュリティ製品を入れても、守るべき入口が開いたままになります。
8. バックアップは「取っている」ではなく「戻せる」ことが必要
IPAは2026年3月に「中小企業の情報セキュリティ対策ガイドライン」第4.0版を公開し、ランサムウェア被害、サプライチェーン被害、人材不足等を踏まえて内容を拡充しました。特に、従来の「情報セキュリティ5か条」に「バックアップを取ろう!」を追加し、情報セキュリティ6か条としています。
社員10名の会社でバックアップについて決めるべきことは、次の5つです。
項目 | 確認内容 |
対象 | 顧客情報、請求、会計、契約書、業務データ、Webサイト |
頻度 | 毎日、週1回、月1回など、業務停止の許容範囲に応じて決める |
保管場所 | 本番環境と分離する。常時接続の外付けHDDだけに頼らない |
世代管理 | 誤削除や暗号化に備えて複数世代を残す |
復元テスト | 年1回でもよいので、実際に戻せるか確認する |
ランサムウェア対策では、バックアップが最後の砦です。しかし、バックアップ先まで暗号化される、戻し方を誰も知らない、クラウド上のデータが対象外になっている、という事例は珍しくありません。台帳には「バックアップあり」ではなく、「対象・頻度・保管場所・最終復元テスト日」を記録してください。
9. 生成AI利用ルールは、社員10名企業こそ早めに作る
生成AIは、小規模企業にとって非常に有効な業務効率化ツールです。文章案、議事録要約、企画案、メール文面、社内資料作成などで大きな効果があります。
しかし、ルールがないまま使うと、個人情報、顧客情報、契約上の秘密情報、未公開の見積情報、認証情報を入力してしまうリスクがあります。個人情報保護委員会は、個人情報取扱事業者が生成AIサービスに個人情報を含むプロンプトを入力する場合、利用目的達成に必要な範囲内であることを十分確認すること、本人同意なく個人データを含むプロンプトを入力し、その個人データが応答結果の出力以外の目的で取り扱われる場合には、個人情報保護法違反となる可能性があることを注意喚起しています。
社員10名の会社で最初に作る生成AIルールは、次の程度で十分です。
ルール | 内容 |
入力禁止情報 | 個人情報、顧客情報、契約上の秘密情報、認証情報、未公開の売上・見積情報 |
利用可能業務 | 一般的な文章案、要約、アイデア出し、社内資料のたたき台 |
出力確認 | 生成AIの出力をそのまま顧客提出しない |
承認済みサービス | 会社が確認したサービスのみ業務利用可 |
記録 | 業務利用の範囲、責任者、教育実施日を残す |
「全面禁止」にするよりも、「何を入力してはいけないか」を明確にする方が実務では機能します。
10. 事故対応手順は、1枚でもよいので必ず作る
事故対応手順は、社員10名の会社でも必要です。むしろ小規模企業ほど、社長が外出中、担当者が休暇中、休日夜間に事故が起きた場合に対応が止まります。
個人情報保護委員会は、漏えい等報告について、速報は発覚日から3〜5日以内、確報は30日以内、不正な目的で行われたおそれがある場合は60日以内と案内しています。また、要配慮個人情報、財産的被害のおそれ、不正目的のおそれ、1,000人超の漏えい等が報告対象として整理されています。
1枚の事故対応表には、最低限、次を入れてください。
場面 | 初動 |
不審メールを開いた | 端末を操作し続けず、責任者へ報告。メール・画面を保存 |
PC・スマホを紛失した | 紛失時刻、場所、保存情報、ロック状況を記録。遠隔ロック等を確認 |
誤送信した | 送信先、内容、個人情報の有無、回収可否を記録 |
ランサムウェア疑い | ネットワークから隔離。身代金要求画面、ログ、端末状態を保存 |
クラウド共有ミス | 公開範囲を停止。公開期間、閲覧ログ、対象データを確認 |
委託先から事故連絡 | 契約、対象情報、再委託、取引先報告要否を確認 |
事故時に最も危険なのは、慌てて証拠を消すことです。自己判断でメールを削除したり、端末を初期化したり、ログを消したりすると、原因調査や取引先説明が難しくなります。
11. 社員10名企業向け「最低限の記録」
規程と台帳に加えて、運用した証拠として記録を残す必要があります。取引先からセキュリティチェックシートが届いたときも、実際に見られるのはこの記録です。
記録 | 頻度 | 目的 |
教育記録 | 年1回、新入社員入社時 | 情報管理ルールを周知した証拠 |
アカウント棚卸し記録 | 半年に1回 | 退職者・不要権限を確認 |
クラウド共有リンク確認記録 | 半年に1回 | 外部公開ミスを防ぐ |
バックアップ復元テスト記録 | 年1回 | 実際に戻せることを確認 |
委託先確認記録 | 契約時・更新時 | 個人情報・秘密情報の取扱いを確認 |
事故・ヒヤリハット記録 | 発生時 | 再発防止、顧客説明、行政報告に備える |
規程改定記録 | 改定時 | いつ、なぜルールを変えたかを残す |
「教育しました」と口頭で説明するより、「2026年4月10日、全社員10名に情報管理研修を実施。資料配布、受講確認済み」と記録する方が、取引先にも顧客にも説明できます。
12. SECURITY ACTIONを対外説明の入口に使う
社員10名の会社が、いきなりISMSやプライバシーマークを取得するのは負担が大きい場合があります。その場合、まずはIPAのSECURITY ACTIONを活用するのも現実的です。
SECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。一つ星は中小企業向けガイドラインの「情報セキュリティ6か条」への取組み、二つ星は「5分でできる!情報セキュリティ自社診断」で状況を把握し、情報セキュリティ基本方針を定め外部公開することが求められています。ただし、IPAはSECURITY ACTIONについて、認定ではなく自己宣言であり、「認定を受けました」「取得しました」といった表現は不適切と注意しています。
取引先に対しては、「当社はSECURITY ACTIONを宣言しています」だけで終わらせず、基本方針、台帳、教育記録、バックアップ記録、事故対応手順まで示せる状態にすることが重要です。
13. 90日で整える実務ロードマップ
第1段階:30日以内に見える化する
最初の30日は、規程作成よりも棚卸しを優先します。顧客情報、従業員情報、契約書、請求書、クラウド、端末、アカウント、委託先を一覧化します。
この段階でよく見つかる問題は、退職者アカウント、共有パスワード、個人メールでの業務連絡、外部公開された共有リンク、バックアップ対象外のクラウド、契約書未締結の委託先です。
第2段階:60日以内にルールを作る
次に、情報セキュリティ基本方針、情報管理規程、個人情報取扱ルール、クラウド/SaaS利用ルール、生成AI利用ルール、事故対応手順を作成します。社員10名規模であれば、まずは10ページ以内の実務文書で十分です。
第3段階:90日以内に記録運用を始める
最後に、教育記録、アカウント棚卸し記録、バックアップ復元テスト記録、クラウド設定確認記録を残します。ここまでできれば、取引先から「情報管理体制はありますか」と聞かれたときに、口頭ではなく資料で説明できます。
14. 社員10名の会社で最初に導入すべき「最低限セット」
社員10名企業で、まず整えるべき最低限セットは次のとおりです。
優先度 | 整備するもの | 目的 |
1 | 情報セキュリティ基本方針 | 社長の意思を明確にする |
2 | 情報管理規程 | 顧客情報・契約書・営業秘密・認証情報の扱いを決める |
3 | 個人情報管理台帳 | 個人情報がどこにあるか把握する |
4 | クラウド/SaaS台帳 | 勝手なクラウド利用と共有ミスを防ぐ |
5 | アカウント・権限台帳 | 退職者アカウント、管理者権限、MFAを管理する |
6 | 端末・媒体台帳 | PC、スマホ、USB、外付けHDDの所在を管理する |
7 | 委託先台帳 | 外部委託先に渡す情報と契約を管理する |
8 | 生成AI利用ルール | 入力禁止情報を明確にする |
9 | バックアップ復元記録 | 戻せることを確認する |
10 | インシデント対応表 | 事故時に迷わず動く |
この10点があれば、社員10名の会社でも、最低限「説明できる情報管理体制」に近づきます。
15. まとめ:小規模企業こそ、情報管理を「社長の記憶」から「会社の仕組み」へ
社員10名の会社に必要なのは、大企業型の重たい規程集ではありません。必要なのは、実際に運用できるルール、現状を把握できる台帳、取引先や顧客に説明できる記録です。
特に重要なのは、次の5つです。
顧客情報・個人情報・契約書・認証情報を社外秘として扱う
クラウド、端末、アカウント、委託先を台帳化する
退職者アカウント、共有リンク、管理者権限を定期的に確認する
バックアップは「取る」だけでなく「戻せる」ことを確認する
誤送信、紛失、不正アクセス時の報告先を決めておく
情報管理は、社員数が増えてから始めるものではありません。社員10名の段階で仕組みを作っておくと、採用、取引拡大、委託業務、クラウド活用、生成AI利用、セキュリティチェックシート対応が格段に楽になります。
山崎行政書士事務所では、行政書士として対応できる範囲で、情報セキュリティ基本方針、情報管理規程、個人情報保護規程、クラウド/SaaS台帳、生成AI利用規程、委託先管理台帳、インシデント対応手順、取引先提出用のセキュリティ概要資料の整備を支援しています。紛争性のある交渉、損害賠償、訴訟対応、税務・労務判断、専門的なフォレンジック調査や脆弱性診断が必要な場合は、弁護士、税理士、社会保険労務士、IT専門事業者等と連携し、現実に運用できる情報管理体制づくりを支援します。
コメント