情報セキュリティマネジメントシステム（ISMS）の体制構築は、情報セキュリティ対策やリスクアセスメントなどにも多大な影響を与えます。適用範囲は、ISMSの認証を受ける対象業務や組織単位を定めたものであり、情報セキュリティマネジメントシステムを構築するうえで重要なプロセスです。しかし、適用範囲の設定が不適切な場合、審査時の指摘や運用上の不整合につながるリスクがあります。

本記事では、ISMSの適用範囲の決め方について、適用範囲の定義や役割、必要な手順・注意事項について解説します。

ISMSにおける「適用範囲」とは？

ISMS（情報セキュリティマネジメントシステム）における適用範囲とは、マネジメント体制を構築・運用する際に、認証を受ける組織・部署および業務、拠点を定めたものです。適用範囲によって、マネジメント体制の構築、リスク管理、審査の対象が変動します。以下では、ISMSにおける「適用範囲」の定義および役割、ISMS認証における重要性、範囲の定め方について解説します。

適用範囲の定義と役割

ISMSの国際規格であるISO/IEC 27001では、適用範囲の文書化および関係者への提示が求められています。適用範囲の設定によって、リスクアセスメント・管理対象が明確化されるためです。

また、ISO認証審査の対象も適用範囲に基づいて判断されるため、企業・組織全体のセキュリティレベルを適切に維持するうえでも重要な役割を担います。このようなISMS認証取得に向けたマネジメントシステムの構築において、適用範囲の明確化は必要不可欠です。

なお、ISO規格では「組織は」という表現が使われていますが、ここでいう組織は自分の会社ではなく、ISMSを適用している範囲を指します。従って、一部組織にISMSを適用している場合は、適用範囲外の組織は「外部組織」「委託先」となることに注意が必要です。

適用範囲における境界の考え方

ISMSの適用範囲を明確にする際は、以下の5つの観点から境界を定める必要があります。

事業的範囲：対象とする業務、サービス、製品範囲の定義
組織的範囲：関係する部署、グループ、関連会社の明示
物理的範囲：建物、オフィス、データセンターなど地理的な場所の特定
ネットワーク的範囲：社内ネットワークおよび外部接続の範囲
情報資産の管理範囲：対象とするシステムおよびデータ、文書類など資産の特定

適用範囲の明確化により、セキュリティ対策の漏れ・過剰な管理を抑止し、効果的なISMS運用が実現します。

ISMS認証における適用範囲の傾向と定め方

ISO/IEC 27001:2022の4.3項では、ISMSの適用範囲を決定する際に、以下の事項に対する考慮が求められています。

4.1項　外部及び内部課題
4.2項　利害関係者のニーズ及び期待
組織が実施する活動と他の組織が実施する活動とのインターフェース及び依存関係
引用：ISO/IEC 27001:2022｜国際標準化機構

ISMS認証においては、実態に即した適用範囲の設定が不可欠です。近年の傾向として、業務単位ではなく、情報資産およびリスクの実態を基準として適用範囲を定める企業・組織が多い傾向にあります。

一方で、ネットワークおよび重要な情報資産を複数部門で共有しているにも関わらず、特定部門のみに限定する設定方法は望ましくありません。このような根拠に乏しい適用範囲の設定は、リスクの見落としおよび認証の形骸化を招き、マネジメントシステムの機能を損なう恐れがあります。

適用範囲の設定は、ISO27001の要求事項にも記載されており、ISMS構築のうえで欠かせないプロセスの一つです。企業・組織の実態に即して、適切な範囲設定が望まれます。

ISMS適用範囲の決定に必要な手順

ISMSの適用範囲は、手順に沿って企業・組織の実情に即した範囲に設定する必要があります。以下では、5段階に分けて適用範囲の決定に必要な手順について解説します。

1.組織の外部・内部の状況の把握

ISMSの適用範囲を定めるにあたっては、企業・組織の外部・内部の状況把握が不可欠です。外部環境として法規制、市場の動向、委託先との関係などが挙げられ、内部環境には組織構造、業務プロセス、使用している情報資産などが該当します。企業・組織における外部・内部状況の的確な把握は、情報セキュリティに影響を与える要因を明確にし、実態に即した適用範囲の設定につながります。

2.関連する利害関係者の特定

企業・組織の外部・内部状況を把握したのち、関連する利害関係者の特定を行います。ISMSの適用範囲設定における利害関係者とは、市場、顧客および取引先、業務委託先、株主、経営者、従業員、地域社会、規制当局など、情報セキュリティに影響を与える、または影響を受ける立場にある関係者です。立場ごとのニーズ把握により、適用範囲に包含すべき管理対象が明確化され、より妥当な範囲設定が実現します。先日、ある組織の審査での事例ですが、その組織は受託でシステムを開発し、その運用・保守を行っています。情報セキュリティ管理策“8　技術的管理策”の開発に関する管理策を不採用としており、不思議に感じたので質問したところ、「システムの運用・保守は認証範囲だが、開発は認証の範囲外」と説明を受けました。ところが、“4.2項　利害関係者のニーズ及び期待の理解”では、システムの品質と認識されており、「開発を除外した適用範囲・認証範囲でシステムの品質というニーズに対応できますか？」と質問し、再考を促しました。裏話として聞きましたが、コンサルタントが「認証するために開発を入れると面倒だから…」というアドバイスをしたそうです。適用範囲・認証範囲を正しく設定していない事例です。

3.組織の活動間のインターフェースや依存関係の明確化

ISMSの適用範囲を定める際には、企業・組織内外の活動間に存在するインターフェース・依存関係を明確にする必要があります。外部委託先のサービスに依存している、あるいは一部組織にISMSを適用している場合の適用範囲外の部門が管理するシステムもしくは外部委託先のサービスに依存している場合、連携状況および責任分担を把握しておかなければ、リスク要因の見落としにつながります。適用範囲から除外する要素がある場合も、妥当性と影響を十分に評価したうえでの判断が不可欠です。

4.関連する業務プロセス・業務内容の明確化

ISMSの適用範囲を適切に定めるにあたり、関連する業務プロセスおよび業務内容の明確化も求められます。ISMSの適用対象とする事業・サービスにおいて、どのような業務でどの情報を扱い、どの工程でリスクが発生し得るのかを把握する工程です。これにより、管理策の範囲・重点が明確になり、各業務の役割分担・責任の所在が整理され、ISMSの有効な運用と監査対応に寄与します。

5.適用範囲の決定

ISMSの適用範囲は、ISO/IEC 27001:2022の4.1項・4.2項で特定された課題および利害関係者のニーズ、インターフェース、依存関係を踏まえて総合的に決定します。情報資産が存在する業務・拠点、想定されるリスクの範囲を評価したうえで、適用する範囲の決定と明文化が必要です。また、範囲外とする領域についても、合理的な理由を基準とした範囲設定が求められます。

ISMS適用範囲の失敗パターンと回避策とは？

ISMS適用範囲の設定においては、いくつかの典型的な失敗パターンが見られます。以下に例を挙げます。

適用範囲が狭すぎる
適用範囲が広すぎる
適用範囲と業務実態が一致していない

なぜこのような適用範囲の設定がISMSの有効な運用を阻害するのか、その理由と回避策について解説します。

適用範囲が狭すぎる

ISMSの適用範囲を過度に限定すると、本来管理対象とすべき情報資産および関連部門がISMSによる管理および統制の対象外に置かれるおそれがあります。たとえば、営業部のみを適用範囲の対象と定めた場合でも、実際には総務部や情報システム部が顧客情報を共有・管理しているような状況です。

このような場合、審査時に適用範囲の妥当性が問われるだけでなく、内部統制の実効性にも疑義が生じ、ISMSとしての統制の有効性について審査で指摘を受ける可能性があります。組織図および業務フローを踏まえ、情報の流れ全体を俯瞰したうえでの適用範囲の設定が肝要です。

適用範囲が広すぎる

適用範囲を実態以上に広範囲で設定すると、管理対象となる資産および拠点が増大し、運用負荷が著しく高まる可能性があります。とくに、全社一括でのISMS認証取得を目指す場合、部門ごとの成熟度、リスク特性を十分に考慮しないまま制度設計を進めるのは、マネジメントシステムの形骸化を招く要因です。

結果的に、形骸化したマネジメントシステムでは、評価・判断基準が統一されておらず文書整備および内部監査に過大な工数を要し、現場の理解・協力が得られにくくなる可能性もあります。ISMSの適用範囲を設定する際は、初期段階ではリスクの高い部門や中核事業に絞り、段階的に拡張する方針が現実的なアプローチといえます。

適用範囲と業務実態が一致していない

ISMSの適用範囲と実際の業務運用が一致していない場合、審査において指摘される可能性があります。たとえば、適用範囲を「営業部のみ」と定義しているにもかかわらず、リスクアセスメントに開発部の資産が含まれているような場合、統制対象の境界が不明確であると判断される可能性があります。

これは単なる記載上の問題ではなく、マネジメントシステム設計上の不備と評価される可能性がある要素です。適用範囲の文言は、実際の組織体制および資産管理の実態との整合性の確保が肝要です。

ISMS適用範囲の決定における注意事項

ISMS適用範囲を決定する際は、企業・組織の実態に即した合理的な範囲設定が求められます。形式的な区切り、限定的な判断、合理性のない範囲設定による、リスク要因に対する対応力欠如の回避が目的です。

また、審査料金を少しでも安くするために適用範囲を一部部門等に狭めると、ISMSの有効性および信頼性の低下につながります。以下では、このような適用範囲の設定における誤りを抑止するための注意事項について解説します。

適用範囲の設定には、合理的な根拠が必須

ISMSの適用範囲を設定する場合、判断に合理的な根拠が必要です。情報資産および業務プロセスが他部門と密接に関連しているにも関わらず、対象を特定部門に限定するのは合理的根拠に欠く設定方法です。適用除外する範囲および対象については、リスクの影響・管理責任の所在を明確にし、正当な理由を文書として記しておく必要があります。

適用範囲は、文書化が必須

ISMSにおける適用範囲は、必ず文書化する必要があります。適用範囲の文書化は、ISO/IEC 27001の要求事項であり、情報セキュリティマネジメントシステムの対象となる業務および部門、拠点、資産などを明確に示すために不可欠な要素です。文書化された適用範囲は、企業・組織内部の関係者だけでなく、利害関係者および審査機関に対して、ISMSの実施範囲を正確に示す役割を果たします。また、文書化した適用範囲はつねに最新の状態に保つ必要があります。

根拠がない境界を定めない

ISMSの適用範囲を定める際に、根拠のない境界設定を行わないよう配慮が必要です。一部の部門・拠点のみでISMS認証を取得し、ほかの関連部門を適用範囲外とした場合でも、除外に合理性がなければリスクを見落とす原因となります。

認証範囲外の部門で情報セキュリティ事故が発生した場合でも、「認証対象外である」という説明は当然取引先・社会に通用しません。企業・組織全体の信用失墜を引き起こし、取引停止といった深刻な影響を及ぼす可能性があります。このようなリスクを回避するうえでも、適用範囲の決定には合理的根拠に基づく判断が不可欠です。

適用範囲の変更・拡張手順

ISMSの適用範囲は、一度定めた後も事業環境の変化に応じて継続的に見直す必要があります。組織再編、新規事業の開始、拠点の追加などが生じた場合には、速やかに影響範囲を整理し、審査機関との協議を経たうえで管理体制への適切な反映が求められます。

変更手順を誤ると、認証の有効性に影響を及ぼす可能性があるため、計画的かつ段階的な対応が不可欠です。以下では、ISMSの適用範囲が変更・拡張になった際の実施手順について解説します。

変更の必要性を整理して影響範囲を確認する

ISMSの適用範囲の変更を検討する際には、まず変更の必要性を明確に整理します。新規事業の開始、組織改編など、変更の背景となる事実を把握したうえで、情報資産および業務プロセスへの影響範囲を確認します。あわせて、既存のリスクアセスメント、管理策への影響も検討する必要があります。影響分析を十分に行わないまま範囲を拡張すると、運用負荷の増加や統制の有効性の低下を招く可能性があります。

関連記事：情報セキュリティリスクアセスメントとは？策定手順と対策・評価プロセス

審査機関へ変更内容を申請・協議する

適用範囲を変更する場合は、認証を受けている審査機関への事前相談および正式な変更申請が必要です。変更内容、背景、対象部門の業務概要などの内容を整理したうえで審査機関と協議を行います。内容によっては、追加審査や審査日程の調整が求められることもあります。独自判断で変更を進めると、審査時に不適合または是正要求が出される可能性があるため、必ず正式な手続きを経ることが望まれます。

総括

本記事では、ISMSにおける適用範囲の定義および役割、設定手順、注意点について解説しました。適用範囲は、ISMS構築の起点となる極めて重要なプロセスであり、組織の実態に即して慎重に決定する必要があります。企業・組織の内部・外部状況および利害関係者のニーズ、他部門との関連性などを十分に考慮し、根拠のある適用範囲の設定が求められます。