ISMSの適用範囲の決め方——最初の壁を越える【ISO27001準備フェーズ】

「適用範囲、どこまでにすればいいですか？」——この問いが出た瞬間が、準備フェーズの始まりだ。

ISO27001の取得を決めた組織が最初にぶつかる壁が、適用範囲の設定だ。「全社でやる？」「事業部単位でいい？」「システムだけ対象にできる？」——正解が見えないまま時間だけが過ぎることも少なくない。

今回は、適用範囲の決め方を現場目線で整理する。「どこまで広げるか」よりも「なぜその範囲にするか」を明確にすることが、後工程をスムーズにする。

1. 適用範囲とは何か：ISMSの「管轄エリア」を決める作業

適用範囲とは、ISMSで管理・保護する対象の境界線を定めることだ。どの部門・業務・拠点・システムをISMSの枠組みで管理するかを明確にする。

適用範囲の外にあるものはISMSの管理対象外になる。逆に言えば、適用範囲内のすべての情報資産・業務プロセスに対してリスクアセスメントと管理策の実施が求められる。範囲が広ければ作業量も増える。狭ければ作業量は減るが、カバーしきれないリスクが残る。

適用範囲が決まらないと、その後の作業が一切進まない。情報資産台帳に何を載せるか、リスクアセスメントをどこまでやるか、規程を誰に適用するか——すべての判断軸が適用範囲だからだ。

曖昧なまま進めると、後から「この部門も対象だったのか」という問題が出てくる。適用範囲の再設定は、一度走り出した後では多大な手戻りを生む。最初にしっかり決めることが、全体スケジュールへの最大の投資だ。

現場で使っている3つの視点を紹介する。

① 取得目的から考える
特定の取引先への対応が目的なら、その取引に関わる業務・部門に絞ることができる。入札要件対応なら対象事業の範囲を明確にする。目的が明確なほど、範囲が自然に絞り込まれる。

② 情報の流れから考える
重要な情報（顧客データ・機密情報）がどこで生まれ、どこを通って、どこに保管されるかを追う。その流れの中に入っている部門・システムを適用範囲に含める。

③ リスクの高さから考える
漏洩・改ざん・紛失が起きたときに組織へのダメージが大きい業務・情報を特定し、そこを起点に範囲を決める。リスクの低い領域を無理に含める必要はない。

中小組織での経験から言うと、最初の適用範囲は小さく絞る方が成功率が高い。

全社を対象にすると、情報資産の洗い出し・リスクアセスメント・規程の整備が膨大になる。担当者1〜2名で兼任しながら進める場合、スコープが広すぎると途中で止まりやすい。

認証取得後に適用範囲を拡張することは可能だ。「まず本社の営業部門と管理部門で認証を取り、翌年に製造部門を追加する」という段階的なアプローチは、特に中小組織では有効な戦略だ。

広げすぎの失敗：「せっかくなら全社で」と適用範囲を広げた結果、作業量が増えてスケジュールが大幅に遅延する。特に人員が少ない組織で起きやすい。

絞りすぎの失敗：「システム部門だけ」「サーバー室だけ」のように極端に絞ると、審査時に「この範囲では組織全体のセキュリティ管理として不十分」と指摘を受けることがある。情報の流れや組織の実態と乖離した範囲設定は通りにくい。

「この範囲にした理由を説明できるか？」——これが適用範囲の妥当性を確認する最もシンプルな問いだ。

適用範囲はISMS文書の中で明文化する必要がある。書くべき内容は以下の通りだ。

・対象組織の名称・所在地
・対象とする事業・業務の範囲（具体的な業務名を列挙する）
・対象外とするものがある場合はその理由
・組織図や業務フロー図を添付するとより明確になる

AIを使うと適用範囲の文書ドラフトを効率的に作ることができる。「○○業を営む従業員30名の中小企業で、顧客情報を扱う営業部門と管理部門を対象としたISMS適用範囲の文書を作って」という指示で実用的な叩き台が出てくる。

適用範囲は「広ければいい」でも「狭ければいい」でもない。「この範囲にした理由を、審査員・経営者・担当者の誰に対しても説明できる状態」が正解だ。

取得目的・情報の流れ・リスクの高さ——この3つの視点で整理すれば、説明できる適用範囲が必ず見えてくる。次のステップでは、その範囲を動かすための「推進体制」を作る。

・ISO27001の取得費用はいくらかかるか——コンサル費・審査費・維持費の現実
適用範囲の広さが費用に直結する。費用の全体像と合わせて確認したい。