とりあえず他社の規程をコピペした会社で起きた、クラウド時代の典型的トラブル3選

「情報セキュリティ規程を作れと言われたけど、　ゼロからなんて無理なので、ネットに落ちてたサンプルをとりあえずコピペしました。」

中小企業あるあるです。

実際、IPAや経産省、ベンダー各社が情報セキュリティ規程やクラウド利用規程のサンプルを公開していて、

• 白紙から考えるより早い

• 抜け漏れのリスクを減らせる

という意味では、とても有用です。

問題は、

クラウド全盛の今、他社の規程を丸ごと持ってきたせいで起きるトラブルが、かなりハッキリしてきています。

今回は、実際によく見る“クラウド時代のコピペ規程トラブル”を、3つのパターンに絞ってご紹介します。

トラブル1：規程上は「クラウド原則禁止」なのに、実態はクラウドまみれ

こんな会社、心当たりありませんか？

• 何年か前にネットで拾った「情報セキュリティ管理規程（サンプル）」をほぼコピペ

• その中に

  • 「重要情報は原則自社サーバで管理」

  • 「クラウドサービス利用は例外的に情シス承認のうえ限定的に」といったオンプレ前提の条文がそのまま残っている

• 一方、現場は

  • Microsoft 365

  • 各種SaaS（勤怠・会計・CRM・チャット…）をフル活用している

そんな状態で、大手取引先から「情報セキュリティ体制を示すために、規程を送ってください」と言われて提出したところ——

と突っ込まれてしまった、というパターンです。

どこが問題か？

• 規程と実態が明らかに矛盾している

• 情報セキュリティ規程は「守るべきルール」であると同時に、取引先や監査機関に対する説明文書でもあります

• ここが食い違うと、

  • 「規程が形骸化している」

  • 「実態を隠しているのでは」と見られ、信頼を損ねます

IPAの「中小企業の情報セキュリティ対策ガイドライン」や、各種テンプレ解説でも、サンプルは必ず自社実態に合わせてカスタマイズすべきと繰り返し書かれています。

最低限こうしておけば防げた

• 規程の「クラウド」「外部サービス」関連の条文だけでも、

  • 実際に使っているサービス

  • 利用目的・利用範囲に合わせて書き換える

• 「原則オンプレ、例外クラウド」ではなく、

  • メール・ファイル・グループウェアはM365

  • ◯◯データは△△SaaSといった**“クラウド前提の方針”**にアップデートする

トラブル2：プライバシーポリシーとクラウド利用実態が噛み合わず、個人情報保護で突っ込まれる

よくあるストーリー

• プライバシーポリシーも、どこかのサイトのものを参考にコピペした

• そこには

  • 「当社は、日本国内のサーバでのみ個人情報を管理します」

  • 「第三者（外国を含む）への提供は、原則行いません」のような文言が入っている

• しかし実態は、

  • 海外リージョンを含むクラウドSaaS

  • 海外ベンダが運営する分析ツールを普通に使っている

そんな状態で、

• クラウドサービスの漏えいニュースを受けて顧客から「御社はどこにデータを置いていますか？」と聞かれた

• あるいは、自社でインシデントが発生し、弁護士や個人情報保護委員会への報告検討をすることになった

ときに、

ことが発覚する——というパターンです。

最近、個人情報保護委員会はクラウドサービスに関する注意喚起を相次いで出しており、

• クラウド事業者が個人情報取扱事業者となる場合の留意点

• 人事労務クラウドの漏えい事案を受けた委託・監督のポイント

などを具体的に示しています。

また、プライバシーポリシーのテンプレ解説でも、

• テンプレ丸コピーは、実態との不整合が最大のリスク

• 収集する情報・第三者提供の有無などを、自社サービスに合わせて必ず見直すべき

と強調されています。

どこが問題か？

• 実際には海外クラウドや第三者サービスにデータを預けているのに、プライバシーポリシー上は「預けていない」と説明している

• これは、

  • 利用者に対する不正確な説明

  • 個人情報保護法上の安全管理措置・委託先監督の不備の両方として問題視され得ます

漏えいなどのトラブル時に、「そもそも説明どおりの管理をしていなかった」と見なされると、評価はかなり厳しくなります。

最低限こうしておけば防げた

• 規程・プライバシーポリシーを作るときに、「どのクラウドに」「どのデータを」「どのような条件で預けているか」を、技術側と一緒に棚卸しする

• 「国外移転は一切しない」と書き切らず、

  • 利用しているクラウド事業者の地理的範囲

  • 委託に当たるのか、第三者提供に当たるのかを整理したうえで、正直ベースで書く

トラブル3：インシデント対応の現場で「規程どおりだと全部アウトです」と言われる

こんな悲しい会話

ある日、クラウド上のシステムでインシデントが発生。社内調査・顧客連絡・専門家への相談…とバタバタしている中で、内部監査や顧問弁護士からこう言われます。

開いてみると——

• ログの保管期間：全システム1年間

• インシデント報告：発生から24時間以内に経営層へ報告

• 退職者・異動者の権限削除：即日実施

• モバイル・テレワーク：会社貸与端末以外からのアクセス禁止

などなど、理想を全部詰め込んだような規程が出てくる。

しかし実態は、

• 一部クラウドはログ90日しか残っていない

• インシデント報告フローはなく、現場判断で数日経ってから共有

• 退職者アカウントは、月1回まとめて削除

• 在宅勤務は、私物PC＋ブラウザアクセスが普通に行われている

となると、調査の場で必ずこう言われます。

どこが問題か？

• 安全管理措置は、

  • 「何をやると決めているか」

  • 「現実にできているか」の両方が見られます

• コピペ規程は往々にして「理想状態」が書いてあり、

  • 人数・体制的に実現不可能

  • システム的に対応していないという項目だらけになりがちです

インシデント対応の解説やガイドラインでも、「規程に書いたことを本当にやっていたか」が、責任の評価に大きく影響するとされています。

最低限こうしておけば防げた

• 規程を作るとき、必ず技術・現場の担当者と一緒に確認する

  • 「これは今の体制で本当に回せるか？」

  • 「実装されていないことは、“今後の目標”として別紙に分けるか？」

• ログ保管期間やインシデント報告期限など、守れないと困る項目ほど、実態に合わせて現実的な値にする

結局、「コピペ規程」の何がまずいのか？

3つのトラブルに共通しているのは、

になっていることです。

• テンプレや他社規程を叩き台として使うこと自体は、IPAや各種記事でも推奨されています

• ただし、

  • 自社の業種・規模・クラウド利用状況

  • 個人情報・機密情報の流れに合わせてカスタマイズしないと“使えない規程”になる、という点が繰り返し指摘されています。

クラウド時代の情報セキュリティ規程は、

• 技術者が見ても「実際の構成と紐づいている」と感じる

• 法務が見ても「契約・法令上説明できる」と判断できる

• 現場が見ても「これなら回せる」と思える

この3つが揃って初めて、“生きたルール”として機能します。

山崎行政書士事務所がお手伝いできること

山崎行政書士事務所では、クラウド法務・情報セキュリティ専門として、

• 既存の「コピペ規程」「昔作ったままの規程」を前提にしたクラウド時代向けの棚卸し・差分整理

• クラウド構成図・利用中SaaS一覧・個人情報の流れを踏まえた情報セキュリティ規程・クラウド利用規程のリライト

• プライバシーポリシーとクラウド利用実態の整合性チェック（国外クラウド・外部サービス利用の整理を含む）

• 取引先のセキュリティチェックシートや監査に耐えられるような「規程＋説明資料」セットの作成支援

などを行っています。

という状態でも大丈夫です。

静岡県内の企業さま向けには、オンライン・訪問どちらでも対応可能です。