情報セキュリティマネジメントシステム（ISMS）の体制構築は、情報セキュリティ対策やリスクアセスメントなどにも多大な影響を与えます。適用範囲は、ISMSの認証を受ける対象業務や組織単位を定めたものであり、情報セキュリティマネジメントシステムを構築するうえで重要なプロセスです。しかし、適用範囲の設定が不適切な場合、審査時の指摘や運用上の不整合につながるリスクがあります。

本記事では、ISMSの適用範囲の決め方について、適用範囲の定義や役割、必要な手順・注意事項について解説します。

ISMSにおける「適用範囲」とは

ISMS（情報セキュリティマネジメントシステム）における適用範囲とは、マネジメント体制を構築・運用する際に、認証を受ける組織・部署および業務、拠点を定めたものです。適用範囲によって、マネジメント体制の構築、リスク管理、審査の対象が変動します。以下では、ISMSにおける「適用範囲」の定義および役割、ISMS認証における重要性、範囲の定め方について解説します。

適用範囲の定義と役割

ISO/IEC 27001では、適用範囲の文書化および関係者への提示が求められています。適用範囲の設定によって、リスクアセスメント・管理対象が明確化されるため、マネジメントシステムの運用体制の構築において不可欠な要素です。また、ISO認証審査の対象も適用範囲に基づいて判断されるため、企業・組織全体のセキュリティレベルを適切に維持するうえでも重要な役割を担います。なお、ISO規格では“組織は”という表現が使われていますが、ここでいう“組織”は“自分の会社”ではなく、ISMSを適用している範囲を指します。従って、一部組織にISMSを適用している場合は、適用範囲外の組織は“外部組織”“委託先”となることに注意が必要です。

適用範囲における境界の考え方

ISMSの適用範囲を明確にする際は、以下の5つの観点から境界を定める必要があります。

事業的範囲：対象とする業務、サービス、製品範囲の定義
組織的範囲：関係する部署、グループ、関連会社の明示
物理的範囲：建物、オフィス、データセンターなど地理的な場所の特定
ネットワーク的範囲：社内ネットワークおよび外部接続の範囲
情報資産の管理範囲：対象とするシステムおよびデータ、文書類など資産の特定

適用範囲の明確化により、セキュリティ対策の漏れ・過剰な管理を抑止し、効果的なISMS運用が実現します。

ISMS認証における適用範囲の傾向と定め方

ISO/IEC 27001:2022の4.3項では、ISMSの適用範囲を決定する際に、以下の事項に対する考慮が求められています。

4.1項　外部及び内部課題
4.2項　利害関係者のニーズ及び期待
組織が実施する活動と他の組織が実施する活動とのインターフェース及び依存関係
引用：ISO/IEC 27001:2022｜国際標準化機構

ISMS認証においては、実態に即した適用範囲の設定が不可欠です。近年の傾向として、業務単位ではなく、情報資産およびリスクの実態を基準として適用範囲を定める企業・組織が多い傾向にあります。一方で、ネットワークおよび重要な情報資産を複数部門で共有しているにも関わらず、特定部門のみに限定する設定方法は望ましくありません。このような根拠に乏しい適用範囲の設定は、リスクの見落としおよび認証の形骸化を招き、マネジメントシステムの機能を損なう恐れがあります。

適用範囲の設定は、ISO27001の要求事項にも記載されており、ISMS構築のうえで欠かせないプロセスの一つです。企業・組織の実態に即して、適切な範囲設定が望まれます。

ISMS適用範囲の決定に必要な手順

ISMSの適用範囲は、手順に沿って企業・組織の実情に即した範囲に設定する必要があります。以下では、5段階に分けて適用範囲の決定に必要な手順について解説します。

1.組織の外部・内部の状況の把握

ISMSの適用範囲を定めるにあたっては、企業・組織の外部・内部の状況把握が不可欠です。外部環境として法規制、市場の動向、委託先との関係などが挙げられ、内部環境には組織構造、業務プロセス、使用している情報資産などが該当します。企業・組織における外部・内部状況の的確な把握は、情報セキュリティに影響を与える要因を明確にし、実態に即した適用範囲の設定につながります。

2.関連する利害関係者の特定

企業・組織の外部・内部状況を把握したのち、関連する利害関係者の特定を行います。ISMSの適用範囲設定における利害関係者とは、市場、顧客および取引先、業務委託先、株主、経営者、従業員、地域社会、規制当局など、情報セキュリティに影響を与える、または影響を受ける立場にある関係者です。立場ごとのニーズ把握により、適用範囲に包含すべき管理対象が明確化され、より妥当な範囲設定が実現します。

3.組織の活動間のインターフェースや依存関係の明確化

ISMSの適用範囲を定める際には、企業・組織内外の活動間に存在するインターフェース・依存関係を明確にする必要があります。外部委託先のサービスに依存している、あるいは一部組織にISMSを適用している場合の適用範囲外の部門が管理するシステムもしくは外部委託先のサービスに依存している場合、連携状況および責任分担を把握しておかなければ、リスク要因の見落としにつながります。適用範囲から除外する要素がある場合も、妥当性と影響を十分に評価したうえでの判断が不可欠です。

4.関連する業務プロセス・業務内容の明確化

ISMSの適用範囲を適切に定めるにあたり、関連する業務プロセスおよび業務内容の明確化も求められます。ISMSの適用対象とする事業・サービスにおいて、どのような業務でどの情報を扱い、どの工程でリスクが発生し得るのかを把握する工程です。これにより、管理策の範囲・重点が明確になり、各業務の役割分担・責任の所在が整理され、ISMSの有効な運用と監査対応に寄与します。

5.適用範囲の決定

ISMSの適用範囲は、ISO/IEC 27001:2022の4.1項・4.2項で特定された課題および利害関係者のニーズ、インターフェース、依存関係を踏まえて総合的に決定します。情報資産が存在する業務・拠点、想定されるリスクの範囲を評価したうえで、適用する範囲の決定と明文化が必要です。また、範囲外とする領域についても、合理的な理由を基準とした範囲設定が求められます。

ISMS適用範囲の決定における注意事項

ISMS適用範囲を決定する際は、企業・組織の実態に即した合理的な範囲設定が求められます。形式的な区切り、限定的な判断、合理性のない範囲設定による、リスク要因に対する対応力欠如の回避が目的です。

また、審査料金を少しでも安くするために適用範囲を一部部門等に狭めると、ISMSの有効性および信頼性の低下につながります。以下では、このような適用範囲の設定における誤りを抑止するための注意事項について解説します。

適用範囲の設定には、合理的な根拠が必須

ISMSの適用範囲を設定する場合、判断に合理的な根拠が必要です。情報資産および業務プロセスが他部門と密接に関連しているにも関わらず、対象を特定部門に限定するのは合理的根拠に欠く設定方法です。適用除外する範囲および対象については、リスクの影響・管理責任の所在を明確にし、正当な理由を文書として記しておく必要があります。

適用範囲は、文書化が必須

ISMSにおける適用範囲は、必ず文書化する必要があります。適用範囲の文書化は、ISO/IEC 27001の要求事項であり、情報セキュリティマネジメントシステムの対象となる業務および部門、拠点、資産などを明確に示すために不可欠な要素です。文書化された適用範囲は、企業・組織内部の関係者だけでなく、利害関係者および審査機関に対して、ISMSの実施範囲を正確に示す役割を果たします。また、文書化した適用範囲はつねに最新の状態に保つ必要があります。

根拠がない境界を定めない

ISMSの適用範囲を定める際に、根拠のない境界設定を行わないよう配慮が必要です。一部の部門・拠点のみでISMS認証を取得し、ほかの関連部門を適用範囲外とした場合でも、除外に合理性がなければリスクを見落とす原因となります。

認証範囲外の部門で情報セキュリティ事故が発生した場合でも、「認証対象外である」という説明は当然取引先・社会に通用しません。企業・組織全体の信用失墜を引き起こし、取引停止といった深刻な影響を及ぼす可能性があります。このようなリスクを回避するうえでも、適用範囲の決定には合理的根拠に基づく判断が不可欠です。

総括

本記事では、ISMSにおける適用範囲の定義および役割、設定手順、注意点について解説しました。適用範囲は、ISMS構築の起点となる極めて重要なプロセスであり、組織の実態に即して慎重に決定する必要があります。企業・組織の内部・外部状況および利害関係者のニーズ、他部門との関連性などを十分に考慮し、根拠のある適用範囲の設定が求められます。