公開日:2025年9月4日
ISO/IEC27001の審査が月額 ¥17,000円(税抜)から
東京スタンダードでは、ISO/IEC27001審査が月額¥17,000(税抜)~。ISO未経験の企業でも、取得に向けて準備に取り組みやすいITツール・文書テンプレートもご提供しています。
この記事は9分で読了することができます。
「ISMS適用宣言書って何を書けばいいの?」
「適用宣言書の作成方法が分からない…」
「審査で不備がないように適用宣言書を確認したい」
ISMS認証を取得する際に必須となる適用宣言書について、このような悩みを抱える担当者の方も多いのではないでしょうか?
この記事では、ISMS適用宣言書の基本知識から具体的な作成方法まで、実際のサンプルを用いて分かりやすく解説します。
この記事で分かること
ISO/IEC27001(ISMS)とは何か知りたい方や取得を検討している方に向けて、ISO/IEC27001(ISMS)の仕組み、要求事項・管理策、認証取得のメリット・デメリットなどをわかりやすく解説!
ISMS適用宣言書とは、ISO/IEC27001:2022の附属書Aに記載された93項目の管理策について、自社がどの管理策を適用するか・しないかを宣言する文書です。
ISMS認証を取得するためには、この適用宣言書の作成が必須となっており、すべての認証取得組織に義務付けられています。
管理策とは、情報セキュリティのリスクに対応するための具体的な対策のことです。
例えば「入退室管理を導入する」「定期的にバックアップを取る」「社員にセキュリティ教育を行う」といった施策が管理策にあたります。
ISO/IEC27001では、こうした管理策が網羅的に整理されており、組織は自社の状況やリスクに応じて、どの管理策を取り入れるかを判断します。その選択結果をまとめたものが「適用宣言書」なのです。
ISMS適用宣言書を作成する主な目的は、以下の3つです。
②リスク管理体制の体系化
③認証基準への適合性証明
ISO/IEC 27001附属書Aに示された管理策(93項目)について、どの管理策を適用するか否か、またその理由を明確にすることで、リスクに対して適切な対応を選択していることを証明します。
リスクアセスメントで特定されたリスクに対して、どのような管理策で対応するかを体系的に整理することで、リスク対応が抜け漏れなく実施されることを保証します。
ISMS認証取得や内部監査において、「リスクアセスメントで特定されたリスクに対して、適切な管理策が適用されていること」を審査員に客観的に証明する役割を果たします。
適用宣言書の重要性
適用宣言書は、組織の情報セキュリティ体制の根幹を成します。
適用宣言書が不十分または不適切であると、管理策の網羅性や有効性が疑問視され、内部監査や登録審査時に指摘を受ける可能性が高くなります。
適用宣言書を作成するには、リスクアセスメントを実施し、組織が抱えるリスクの評価を行う必要があります。
リスクアセスメントとは、自社の情報資産を守るために「情報セキュリティリスクを特定し、特定したリスクにおいて脅威・脆弱性・影響などを分析し、評価するプロセス」です。
基本概念から5つの実施手順まで、初心者でも分かるよう詳しく解説。評価基準統一の方法や審査対応のコツも紹介。ISO/IEC27001認証取得を効率的に進めたい方必見の完全ガイド!
ISO/IEC27001:2022の附属書Aには、93項目の管理策が以下の4つのカテゴリに分類されています。
ISO/IEC27001では、リスクアセスメントで特定されたリスクに対し、具体的な対策として、この93個の管理策や、別途対策を決定し、実行しなければなりません。
組織(企業)が情報セキュリティマネジメントシステムを運用するための、方針や体制に関する管理策(37項目)
要員への教育や雇用時の契約など、人に関する管理策(8項目)
物理的な、ハードウェアや建物や設備などを守るための管理策(14項目)
ソフトウェアやシステムなどを守るための、技術面に関する管理策(34項目)
重要なポイントは、すべての管理策を適用する必要はないということです。
一般的には、93項目中0~10項目程度が適用除外となり、ほとんどの管理策は実行することが標準的です。
ただし、除外する場合には合理的な理由が必要で、「大変だからやらない」といった理由は認められません。
適用・除外の判定結果を基に、適用宣言書として文書化します。
ISMS適用宣言書の作成には、ISO/IEC27001の箇条6.1.3 情報セキュリティリスク対応に以下のように記されています。
− 必要な管理策[6.1.3のb) 及びc) 参照]及びそれらの管理策を含めた理由
− それらの管理策を実施しているか否か
− 附属書Aに規定する管理策を除外した理由
引用元:JIS Q 27001:2022 情報セキュリティマネジメントシステム 要求事項
そのため、93項目すべての管理策について、適用/除外の判定と判定理由は必ず記載する必要があります。
特に審査員は、①適用した管理策が現場で適切に運用されているか、②管理策の除外理由が明確かつ適切か、③管理策の適用/除外の判定が、リスク評価結果と整合性があるか の3点をよく見るので適用宣言書にまとめる際には再度確認しましょう。
採用した管理策を実際に運用するためには、別途規程や手順書を作成し、そこで具体的なルールを定める必要があります。(箇条8.1)
たとえば「管理策7.2: 物理的入退管理」を採用した場合には、「物理的セキュリティ管理規程」などの文書に、「入退時はセキュリティキーを使用する」「入退時刻と利用者を記録する」といったルールを記載します。
以下に、実際の適用宣言書のサンプルを示しますので、参考にしてください。
| 管理策番号 | 管理策標題 | 管理策 | 適用/除外 | 適用/除外の理由 | 実施 | 関連文書 |
|---|---|---|---|---|---|---|
| 7 | 物理的管理策 | |||||
| 7.1 | 物理的セキュリティ境界 | 情報及びその他の関連資産のある領域を保護するために、物理的セキュリティ境界を定め、かつ、用いられなければならない。 | 適用 | ISO27001認証要件 | ○ | 物理的セキュリティ基本方針 |
| 7.2 | 物理的入退 | セキュリティを保つべき領域は、適切な入退管理策及びアクセス場所(受付など)によって保護しなければならない。 | 適用 | 脅威分析結果 | ○ | 入退室管理運用マニュアル |
| 7.3 | オフィス、部屋及び施設のセキュリティ | オフィス、部屋及び施設に対する物理的セキュリティを設計し、実装しなければならない。 | 適用 | 資産保護の必要性 | ○ | オフィスセキュリティガイドライン |
| 7.4 | 物理的セキュリティの監視 | 施設は、認可していない物理的アクセスについて継続的に監視しなければならない。 | 適用 | コンプライアンス要件 | ○ | 24時間監視運用手順書 |
| 7.5 | 物理的及び環境的脅威からの保護 | 自然災害及びその他の意図的又は意図的でない、インフラストラクチャに対する物理的脅威とその物理的及び環境的脅威に対する保護を設計し、実装しなければならない。 | 適用 | BCP策定要件 | ○ | 事業継続計画書 |
| 7.6 | セキュリティを保つべき領域での作業 | セキュリティを保つべき領域での作業に関するセキュリティ対策を設計し、実装しなければならない。 | 適用 | 内部統制強化 | ○ | セキュアエリア作業規程 |
| 7.7 | クリアデスク・クリアスクリーン | 書類及び取外し可能な記憶媒体に対するクリアデスクの規則、並びに情報処理機能に対するクリアスクリーンの規則を定め、適切に実装させなければならない。 | 適用 | 情報漏洩リスク対策 | ○ | クリアワーク実施要領 |
| 7.8 | 装置の設置及び保護 | 装置は、セキュリティを保って設置し、保護しなければならない。 | 除外 | クラウドサービス移行により不要 | × | 該当なし |
| 7.9 | 構外にある資産のセキュリティ | 構外にある資産を保護しなければならない。 | 適用 | リモートワーク普及 | ○ | テレワークセキュリティ規程 |
| 7.10 | 記憶媒体 | 記憶媒体は、組織における分類体系及び取扱いの要求事項に従って、その取得、使用、移送及び廃棄のライフサイクルを通じて管理しなければならない。 | 適用 | 個人情報保護対応 | ○ | 媒体管理台帳運用規程 |
東京スタンダードの「T-web」なら、適用宣言書を含む200種類の文書テンプレートを格納!効率的で効果的なセキュリティ管理を実現できます。
(月額9,700円~)
ここでは、実際によく除外される管理策の具体例を紹介します。自社の状況と照らし合わせて、適切な判断の参考にしてください。
管理策8.28:セキュリティに配慮したコーディング
除外理由:自社でソフトウェア開発業務を行っていないため、セキュアコーディングに関する管理策は適用対象外
管理策8.29:開発及び受入れにおけるセキュリティテスト
除外理由:システム開発は全て外部委託により実施しており、当社で独自のセキュリティテストは実施していない
管理策5.3:職務の分離
除外理由:従業員10名の小規模事業者のため、完全な職務分離は現実的でない。代替策として、重要業務は必ず複数名でのダブルチェック体制を構築している
管理策7.9:構外にある資産のセキュリティ
除外理由:テレワーク実施せず、資産の社外持ち出しなし。緊急時のみ社内承認制で対応
管理策7.4:物理的セキュリティの監視
除外理由:レンタルオフィスを使用しており、建物全体の物理的監視は管理会社が実施。当社占有エリアのみ監視カメラを設置
管理策8.10:情報の削除
除外理由:顧客プロジェクト終了時のみデータ削除を実施、社内データは保持する
管理策7.8:装置の設置及び保護
除外理由:社内IT機器の保守費用と、機器故障時の業務停止リスクを比較検討した結果、短期間の業務停止リスクを受容し、故障時は迅速な機器交換で対応する方針を経営陣が承認済み(リスク受容決定書:2025年○月○日)
いいえ、すべてを適用する必要はありません。リスクアセスメント結果に基づいて必要な管理策を選択してください。一般的には0~10項目程度が適用除外となることが多いです。
はい、不十分です。「なぜ該当しないのか」の具体的な理由が必要です。例:「当社はソフトウェア開発業務を行っていないため、セキュアコーディングに関する管理策は適用範囲外」など。
情報セキュリティ方針を承認する権限を持つ経営層(通常は代表取締役社長)が適切です。ISMS責任者が作成し、経営陣が承認するプロセスを確立しましょう。
事業環境に大きな変更がない場合は、重要な変更点に焦点を当てた見直しで十分です。ただし、新たなリスクが特定された場合は詳細な見直しが必要です。
ISMS適用宣言書は、組織の情報セキュリティ体制を具現化する重要な文書です。
適切な適用宣言書の作成により、効果的なISMS運用の基盤を築き、認証審査での指摘リスクを最小化できます。
組織の実情に合った管理策を選定し、運用可能なセキュリティ体制を構築することで、真に価値のある情報セキュリティマネジメントシステムを実現しましょう。
成功のポイント
1. リスクベースアプローチの徹底:リスクアセスメント結果に基づいた管理策選択
2. 3ステップでの体系的作成:①管理策選定→②具体的ルール策定→③文書化
3. 具体的で明確な除外理由:業種や規模に応じた合理的な判断根拠の明示
4. 継続的な見直し:定期的な更新による実効性の維持
お問い合わせ・ご相談
ISOご担当者様・ご興味がある企業様は、お気軽に貴社のご状況をご相談ください。
2023年東京スタンダード設立。エイエスアール株式会社、アームスタンダード株式会社、アフノールジャパン株式会社、QAICジャパン株式会社をグループ会社として持ち、ISO認証登録件数グループ合計5,500件以上の実績を持つ。長年の経験とノウハウを活かして、ISOをより活かすことができるお役立ち情報を発信。
記事の監修者
東京スタンダード編集部
こちらのフォームにご入力後、弊社サービスやISOに関する資料がダウンロードできます。
