情報セキュリティ委員会の作り方——誰を巻き込み、どう機能させるか

「セキュリティ委員会、作ったはいいけど誰も動かない」——これが一番多い失敗だ。

ISO27001の準備を始めると、情報セキュリティ委員会の設置が必要になる。ただ「設置する」こと自体は難しくない。難しいのは、「機能する委員会にすること」だ。

今回は、誰を巻き込むか・どう動かすか・よくある失敗をどう防ぐかを整理する。適用範囲の設定が終わったら、次はこの推進体制を作る段階だ。

→ ISMSの適用範囲の決め方——最初の壁を越える【ISO27001準備フェーズ】

目次

1. なぜ委員会が必要か：担当者1人では回らない理由
2. 誰を入れるか：最低限必要な3つの役割
3. 経営者を巻き込む：これが最重要ポイント
4. 委員会の運営：年何回・何を議題にするか
5. 委員会を文書化する：規程・任命書の作り方
6. 機能しない委員会の共通パターン
7. 「形だけの委員会」にしない唯一の方法

1. なぜ委員会が必要か：担当者1人では回らない理由

ISO27001では、情報セキュリティの推進を組織全体で取り組むことを求めている。これは担当者1人が頑張る話ではなく、経営層のコミットメントと各部門の参加があって初めて機能する仕組みだ。

情報セキュリティ委員会はその推進体制の核となる。規程の制定・リスクへの対応・インシデント発生時の意思決定——これらは担当者の権限を超えた判断が必要になる場面が多い。委員会という形で権限と責任を明確にすることで、判断のスピードと品質が上がる。

2. 誰を入れるか：最低限必要な3つの役割

委員会に必要な役割は最低3つだ。

① 情報セキュリティ最高責任者（CISO相当）
経営層から任命する。情報セキュリティに関する最終的な意思決定権を持つ役割だ。中小組織では社長・副社長・部長クラスが担うことが多い。

② 情報セキュリティ管理者（推進担当）
実務を推進する担当者。ISMSの構築・運用・文書管理・内部監査の調整などを担う。兼任でも可だが、週に一定時間を確保できる人を選ぶことが重要だ。

③ 各部門の代表者
適用範囲に含まれる部門から1名ずつ選出する。部門内への展開・情報共有・現場からの意見収集が役割だ。

人数は少なくても機能する。多すぎる委員会は意思決定が遅くなる。

3. 経営者を巻き込む：これが最重要ポイント

現場でコンサルをしていて断言できることがある。経営者の関与が薄い組織のISMSは、必ず形骸化する。

経営者の役割は3つだ。委員会の設置を正式に決定・承認すること。情報セキュリティポリシーに署名すること。年1回の経営者レビューを実施すること。この3つを経営者自身がやることで、ISMSが「担当者の仕事」ではなく「組織の仕組み」になる。

経営者を動かすには、「セキュリティインシデントが起きたときの損失」を具体的に伝えることが有効だ。「情報漏洩が発生した場合の賠償・信用失墜・取引停止リスク」——数字と事例で見せると動きやすくなる。

4. 委員会の運営：年何回・何を議題にするか

委員会は年2〜4回開催するのが現実的だ。月1回はISMSが軌道に乗るまでは負担が重い。年1回だと審査直前にバタバタする。

定例議題としては以下を設けると運営がしやすい。

・前回指摘事項・是正処置の進捗確認
・インシデント・ヒヤリハットの報告と対応状況
・リスクアセスメント結果の確認と対応方針
・教育実施状況の報告
・規程・手順書の改訂の要否確認

議事録は必ず残す。これが内部監査・外部審査の重要な証拠になる。

5. 委員会を文書化する：規程・任命書の作り方

委員会の設置は文書で明確にする必要がある。最低限整備すべきものは2つだ。

情報セキュリティ委員会規程：委員会の目的・構成・開催頻度・議決方法・役割と責任を定める。A4で2〜3枚あれば十分だ。

委員任命書：誰がどの役割を担うかを経営者名で発行する。形式的に見えるが、「任命された」という事実が責任の明確化につながる。

これらもAIを使えばドラフトを効率的に作れる。「中小企業向けの情報セキュリティ委員会規程のドラフトをシンプルに作って」という指示で実用的な叩き台が出てくる。

6. 機能しない委員会の共通パターン

現場で見てきた「機能しない委員会」には共通のパターンがある。

・推進担当者だけが動いて他の委員は名前だけ：各部門代表者に具体的な役割を与えないと、委員会が担当者の報告を聞くだけの場になる。

・議事録が残っていない：「やった」という記録がないと、外部審査で証拠として使えない。どんなに簡易でも残すことが重要だ。

・経営者が欠席常態化する：経営者不在の委員会は意思決定ができない。開催日程は経営者の予定を最優先で調整する。

「形だけの委員会」にしない唯一の方法

情報セキュリティ委員会を機能させる唯一の方法は、「実際の課題・インシデント・改善事項を議題に乗せ続けること」だ。

形式を整えることは最低条件にすぎない。委員会が「現場で起きていることを経営層に届け、組織として判断・対応する場」として機能し始めたとき、ISMSは本当の意味で動き出す。

関連記事

・ISMSの適用範囲の決め方——最初の壁を越える【ISO27001準備フェーズ】
委員会設置の前に行う適用範囲の設定について解説した記事。

・ISO27001とは何か？仕組み重視の情報セキュリティ入門【中小組織向け】
委員会の役割が分かるISO27001の基本的な考え方。