取引先から「情報セキュリティチェックシート」が届いたら——静岡の一人情シスがまずやるべきこと

「取引先から情報セキュリティのアンケートが届きました。できる範囲でご回答ください。」

ここ数年、静岡県内の中堅企業でも、このような情報セキュリティチェックシートやアンケートが急に届くケースが増えています。

一人情シス・総務情シスの方からは、こんな声をよく聞きます。

• どこまで正直に書いていいのか不安

• 足りていないところは「改善予定」と書いて良いのか悩む

• そもそも質問の意味がよく分からない

その結果、締切ギリギリまで机の上に置きっぱなし……ということも。

この記事では、静岡県内の中堅企業で一人情シスとして奮闘している方をイメージしながら、

• なぜチェックシートが増えているのか

• 一人情シスがハマりがちな勘違い

• よくある質問ごとの「考え方」と回答のコツ

を整理します。

なぜ今、情報セキュリティチェックシートが増えているのか

まず、「なぜこんなものを急に送ってくるんだ」とモヤっとしている方も多いと思います。

背景には、サプライチェーン全体でのセキュリティ強化があります。

• 大企業や自治体が、自社だけでなく取引先・委託先も含めてセキュリティレベルを確認するようになった

• 情報漏えい事故が「下請け・協力会社」から起きるケースが増え、世間の目も厳しくなっている

• 認証や監査（ISMS、プライバシーマークなど）で、「委託先管理」を求められるようになっている

つまり、チェックシートは

という目的で出されていることが多いです。

もちろん、内容によっては今後の取引判断に使われることもありますが、「全部できていないと即NG」ではないのが実際のところです。

一人情シスがハマりがちな3つの勘違い

1. 「全部100点じゃないと取引停止されるかもしれない」

チェックシートを見ると、

• 多要素認証

• SOCやSIEM

• 侵入検知システム

など、明らかに「うちはそこまでやってない……」という項目も出てきます。

ここでやってしまいがちなのが、

という思い込みです。

実際には、依頼元が知りたいのは

• 現時点でどこまでできているのか

• 足りない部分をどう認識し、どう改善していくのか

という現状と方針です。

逆に、一番問題になるのは

• 実態と違うことを書いてしまう（“盛る”）

• できていないことを隠す

といったケースです。「正直に書くこと」自体が、リスク管理の第一歩だと考えてもらうと良いと思います。

2. 「技術的にできていない＝即NG」と思ってしまう

たとえば、

• 社外向けのWebサービスを持っていない

• 社内システムはオンプレ＋一部クラウドのみ

• 取扱情報も、機微な個人情報までは含まれない

といった企業も少なくありません。

にもかかわらず、大企業向けに作られた「かなり高度な対策」を前提としたチェックシートが届くと、

と落ち込んでしまいがちです。

しかし、セキュリティ対策は 「業種・規模・取扱情報」に応じた相応のレベル が求められるものであり、

• すべての企業が同じレベルの設備投資をしなければならないわけではありません。

経営判断としてどこまでコストをかけるか、という観点も重要です。そのうえで、「今はここまで」「将来的にはここまで引き上げたい」という考えをきちんと書くことが大切です。

3. 「よく分からない項目は空欄にして出す」

一番危ないのは、意味の分からない質問をそのまま空欄にして提出することです。

空欄が多いと、依頼元からは

• 「読んでもらえていないのでは…？」

• 「本当に管理されているのだろうか…？」

といった不安を抱かせます。

どうしても分からない項目は、

• 「※用語の意味が不明なため、詳細を確認中です」

• 「※現状の運用は◯◯です。ご要望に応じて改善可能か検討します」

といったコメントを添えるほうが、誠実で前向きな印象になります。

よくある質問ジャンルと、回答の考え方

ここからは、チェックシートでよく聞かれる項目ごとの考え方を整理します。

1. 組織・ルールに関する質問

代表的な質問：

• 「情報セキュリティポリシー（基本方針）はありますか」

• 「情報セキュリティ委員会などの組織体制はありますか」

ポリシーがある場合

• 制定日・最終改定日

• 承認者（社長など）

• 見直しサイクル（毎年／必要に応じて、など）

を書いておくと、「作って終わりではなく運用している」印象が伝わります。

ポリシーがまだない場合

ウソを書いてしまうのは論外ですが、

だけだと不安を与えます。

のように、

• 現状のルール

• 今後の予定

をセットで伝えるのがおすすめです。

2. アカウント・認証に関する質問

代表的な質問：

• 「ID・パスワードの管理方法」

• 「パスワードポリシー（長さ／複雑性）」

• 「多要素認証（MFA）の有無」

たとえば Microsoft 365 や Azure AD を利用している場合は、

といった形で書けます。

MFAを導入している場合

• 対象（管理者のみ／全ユーザー）

• 方式（認証アプリ／SMS など）

を書いておくと、しっかりした印象につながります。

まだMFAを導入していない場合

「導入している」と書きたくなるかもしれませんが、ここも正直に。

3. クラウド・ネットワークに関する質問

代表的な質問：

• 「クラウドサービスの利用有無とサービス名」

• 「データセンターの所在地」

• 「バックアップの方法・保管期間」

クラウドを利用している場合は、

• 利用している主なサービス（Microsoft 365、◯◯クラウド、◯◯SaaSなど）

• どの業務で使っているか

• 事業者提供のセキュリティ機能を活用している旨

を簡潔に記載すると良いです。

また、システム構成図がある場合は、別紙で添付するのがおすすめです。

という一文を添えておくと、チェックする側も理解しやすくなります。

4. ログ・インシデント対応に関する質問

代表的な質問：

• 「アクセスログ・操作ログの取得と保存期間」

• 「インシデント（事故）発生時の対応手順」

ここも、完璧である必要はありません。

ログについて

インシデント対応について

明文化された手順書がなくても、

といった形で、「どう動くか」を書いておくと安心感があります。

足りていない部分があっても、こう書けば誠実さは伝わる

繰り返しになりますが、

わけではありません。

大事なのは、現状を正直に伝えつつ、今後の改善の方向性も一緒に示すことです。

書き方のポイントは3つです。

1. 現状のレベルを正しく書く

   • 「未実施」なら未実施と書く

2. リスクを理解していることを一言添える

   • 「◯◯のリスクがあるため、××を検討中」など

3. いつまでに、どのレベルを目指すかを書く

   • 「◯年◯月までにポリシー制定」「来期中にMFAを全ユーザーへ展開」など

ここまで書けていれば、「何も考えていない会社」ではなく、「限られたリソースの中で、順番に対策している会社」と伝わります。

一人情シスでも今日からできる“ミニ整備”リスト

チェックシートをきっかけに、できるところから少しずつ整備を進めていくのがおすすめです。

たとえば、次のようなところから始めてみてください。

1. 退職・異動時のアカウント停止フローを紙1枚に書き出す

   • 「誰が・いつ・何を止めるか」をシンプルに決めるだけでも大きな前進です。

2. 主要なクラウドサービスの一覧を作る

   • Office、メール、ファイル共有、業務システムなど

   • サービス名／用途／管理者／契約形態 をExcelなどで管理

3. Microsoft 365の管理者アカウントだけでも多要素認証を有効化する

4. 「情報セキュリティ方針（A4一枚）」のたたき台を作る

   • 完成度60％くらいでも、叩き台があると社内の合意形成が進めやすくなります。

5. 今回のチェックシートを“次回のためのテンプレ”として保管しておく

   • 回答内容を調整すれば、次に似たシートが来たときの下地になります。

これらはどれも、一人情シスでも今日から動けるレベルの整備です。

山崎行政書士事務所がお手伝いできること

山崎行政書士事務所では、クラウド法務・情報セキュリティを専門とし、特に

• Microsoft 365 / Azure を利用する企業さま

• 取引先からセキュリティチェックシートや契約書の提示を求められている企業さま

からのご相談を多くいただいています。

情報セキュリティチェックシートに関しては、例えば次のようなサポートが可能です。

• チェックシートの回答ドラフト作成・レビュー

• 不足している情報セキュリティ規程・クラウド利用規程のひな形作成

• 貴社のクラウド環境（Microsoft 365 / Azure など）に合わせた、説明資料・システム構成図の整理支援

• 取引先からの追加質問メールへの回答文案作成

という段階のご相談も歓迎です。

静岡県内の企業さま向けには、オンライン・訪問のどちらでも対応可能です。

お問い合わせフォームやメールから、「チェックシートの相談希望」と一言添えていただければ、

• 実際のチェックシートを拝見した上で

• どのようなサポートが必要か

• 費用感はどの程度か

を、分かりやすくご案内いたします。