不適合・是正処置・改善台帳

FRM-013 record v1.1 作成: 鈴木謙吾次回レビュー: 2027-06-10

内部監査・外部審査・インシデント等で特定された不適合・改善事項と、その是正処置・有効性確認を管理する台帳。新規案件は本台帳の「案件詳細」に追記し、「一覧（サマリ）」を同時に更新する。是正処置の完了日・有効性確認の結果は判明し次第、随時更新する。

カテゴリ定義

カテゴリ	説明	識別番号
不適合	内部監査・外部審査等で特定された、規格要求事項または社内規程に適合していない事項	`YYYY-A-NNNN` 形式で付与
インシデント	発生した情報セキュリティインシデント・事象に起因する是正・改善事項	なし
改善の機会	不適合には該当しないが、改善が望ましいと特定された事項	なし

転記上の注記

本台帳はSecureNaviの改善管理機能（ISMS-改善.csv、6件）から2026-06-10に移行した。項目構成は原本を踏襲し、以下のとおり表記を整理している。

原本で空欄の項目は「（記載なし）」、原本で「-」（SecureNavi上の未設定表示）の項目は「-」のまま転記
根本原因欄の末尾の空括弧 ()（SecureNaviの詳細未記入表示）は省略
改善の機会の「時系列」欄の null はSecureNaviエクスポート時の空値出力であり「（記載なし）」として扱う
本文中の *.app.secure-navi.jp のURLはSecureNavi解約済みのため失効している（原本記載のまま転記）

一覧（サマリ）

識別番号	カテゴリ	概要	発生日	是正処置期限	状態
2025-A-0001	不適合	MNL-002 セキュリティインシデント対応マニュアルの不備	2025/11/14	2026/01/31	是正処置完了・有効性確認実施済（結果欄未記入）
2025-A-0002	不適合	リスクアセスメントの定期的な実施予定を立てていない	2025/11/14	2025/11/21	是正処置完了・有効性確認実施済（結果欄未記入）
2025-A-0003	不適合	特権的アクセス権で通常業務をしている	2025/11/14	-	是正処置未着手
2025-A-0004	不適合	AWS(airsアカウント)でVPN経由以外でもログインできてしまう	2025/11/14	2026/02/13	是正処置進行中（期限超過・未完了）
（なし）	インシデント	代替機にDockerがインストールできない	2025/11/14	2026/03/31	是正処置進行中
（なし）	改善の機会	監視・測定の決定事項（評価方法・実施時期・実施者等）の記載漏れ（外部審査指摘）	2025/10/24	（記載なし）	未対応（Stage 2審査で確認とされた事項）
（なし）	改善の機会	未承認文書の承認完了（POL-006・MNL-002・MNL-005・RPT-002・FRM-006テンプレート）	2026/06/10	2026/08/31	未対応
（なし）	改善の機会	MNL-005 内部監査マニュアルの文書番号参照・保存先の整合（承認の前提）	2026/06/10	2026/08/31	未対応
（なし）	改善の機会	法規制リストの整備（POL-004・MNL-008が参照）	2026/06/10	（未定）	未対応
（なし）	改善の機会	リスクデータの突合・正規化（CSV 89件とFRM-011 113件、対応後評価の完備、リスク対応402件）	2026/06/10	（未定）	未対応
（なし）	改善の機会	移行で検出した原文の誤記・記載不備の修正（各文書のTODOコメント参照）	2026/06/10	（未定）	未対応
（なし）	改善の機会	参照先が特定できない用語の解決（SaaS管理システム・資産台帳・業務委託運用マニュアル等）	2026/06/10	（未定）	未対応
（なし）	改善の機会	POL-001とPOL-018の方針本文重複の統合検討（次回年次レビュー）	2026/06/10	（未定）	未対応

案件詳細

2025-A-0001: MNL-002 セキュリティインシデント対応マニュアルの不備

カテゴリ: 不適合
識別番号: 2025-A-0001
概要: MNL-002-セキュリティインシデント対応マニュアル（セキュリティチーム用）の不備
発生日: 2025/11/14
レベル: （記載なし）
部門: ISMS委員会
時系列（修正処置を含む）:

2025/11/14 内部監査での指摘

=== 社内規定

A.5.27 全てのインシデントは「社外秘_🔐インシデント台帳」に記録し、原因・対応内容・再発防止策を明確にする。インシデント発生後には必ずレビューを実施し、得られた教訓を関係者に共有する。レビュー結果に基づき、必要に応じて規程や運用手順を改訂し、継続的改善を行う。（対象:エアーズ株式会社）

=== 指摘事項

◯「全てのインシデントは「社外秘_🔐インシデント台帳」に記録し、原因・対応内容・再発防止策を明確にする。」

台帳は用意されている。 https://docs.google.com/spreadsheets/d/1U5IMNtqv6Fk4uS8LhFksl0tgtrtkgRixQwrDtN0KnSw/edit?gid=0#gid=0 インシデント対応マニュアルとして、インシデント台帳の更新が盛り込まれている。 https://docs.google.com/document/d/1R229UL2c670RNtFlFwA-NEdcB2onF3vajUz60UHFmuo/edit?tab=t.0#heading=h.qm9kez7pdu0l

✗「インシデント発生後には必ずレビューを実施し、得られた教訓を関係者に共有する。」このステップがマニュアルに含まれていない。

✗「レビュー結果に基づき、必要に応じて規程や運用手順を改訂し、継続的改善を行う。」レビューのステップがないのでこれも含まれていない。

インシデントの実例はまだ無し
根本原因: マニュアルの不備（インシデント発生後には必ずレビューを実施し、得られた教訓を関係者に共有する。レビュー結果に基づき、必要に応じて規程や運用手順を改訂し、継続的改善を行う。ここの内容をマニュアルに含めるべきだが入っていない）
是正処置内容: 内部監査での指摘事項をマニュアルに含める
是正処置担当者: 鈴木謙吾
是正処置期限: 2026/01/31
是正処置実施完了した日: 2025/12/01
有効性確認内容: マニュアルが正しくできているかを確認する
有効性確認担当者: 立花謙一
有効性確認期限: 2026/03/31
有効性確認した日: 2025/12/30
有効性確認した結果: （記載なし）

2025-A-0002: リスクアセスメントの定期的な実施予定を立てていない

カテゴリ: 不適合
識別番号: 2025-A-0002
概要: リスクアセスメント自体の定期的な実施予定を立てていない
発生日: 2025/11/14
レベル: （記載なし）
部門: ISMS委員会
時系列（修正処置を含む）:

2025/11/14 内部監査で指摘

== 社内規定

8.2 リスクアセスメントを、定期的あるいは重大な変化が生じた場合に実施している。

== 指摘事項

初回実施を確認 https://9c8213134c3f9vr4hl.app.secure-navi.jp/asset_risks

リスクアセスメント自体の定期的な実施の予定は立っておらず、 https://9c8213134c3f9vr4hl.app.secure-navi.jp/tasks?displayType=%E5%B9%B4%E9%96%93%E8%A8%88%E7%94%BB%EF%BC%882025ISMS%E6%96%B0%E8%A6%8F%E5%8F%96%E5%BE%97%EF%BC%89&doneVisible=true

具体的な頻度、時期を含めた規定もない。（年１回以上、◯月に実施、などの記述）
根本原因: 次年度の年間計画の策定がされていない
是正処置内容: 年間予定の作成
是正処置担当者: 鈴木謙吾
是正処置期限: 2025/11/21
是正処置実施完了した日: 2025/11/14
有効性確認内容: 年間予定にリスクアセスメントの計画が含まれていること
有効性確認担当者: 立花謙一
有効性確認期限: 2025/12/31
有効性確認した日: 2025/11/14
有効性確認した結果: （記載なし）

2025-A-0003: 特権的アクセス権で通常業務をしている

カテゴリ: 不適合
識別番号: 2025-A-0003
概要: 特権的アクセス権で通常業務をしている
発生日: 2025/11/14
レベル: （記載なし）
部門: 開発業務部門
時系列（修正処置を含む）:

2025/11/14 内部監査で指摘

規程: 特権的アクセス権を有する者にも、一般権限のアカウントを付与し、通常業務は一般権限のアカウントを利用する。対象:
- Slack
- GoogleWorkspace
- GitHub
根本原因: 課金体系の問題
是正処置内容: （記載なし）
是正処置担当者: （記載なし）
是正処置期限: -
是正処置実施完了した日: -
有効性確認内容: （記載なし）
有効性確認担当者: （記載なし）
有効性確認期限: -
有効性確認した日: -
有効性確認した結果: （記載なし）

2025-A-0004: AWS(airsアカウント)でVPN経由以外でもログインできてしまう

カテゴリ: 不適合
識別番号: 2025-A-0004
概要: AWS(airsアカウント)でVPN経由以外でもログインできてしまう
発生日: 2025/11/14
レベル: （記載なし）
部門: 開発業務部門
時系列（修正処置を含む）:

2025/11/14 内部監査での指摘

AWSアカウントにVPN無しで接続してもSwitchRole等ができてしまう
根本原因: 設定ミス
是正処置内容: VPN接続されていないでログインした際にSwitchRole等各種操作をできなくする。
是正処置担当者: 加藤匡邦
是正処置期限: 2026/02/13
是正処置実施完了した日: -
有効性確認内容: 在宅作業でVPN接続無しでログインできないまたは各種操作ができないことを確認する
有効性確認担当者: 鈴木謙吾
有効性確認期限: 2026/02/28
有効性確認した日: -
有効性確認した結果: （記載なし）

インシデント: 代替機にDockerがインストールできない

カテゴリ: インシデント
識別番号: （記載なし）
概要: 代替機にDockerがインストールできない
発生日: 2025/11/14
レベル: Middle
部門: 開発業務部門
時系列（修正処置を含む）:

2025/11/14

情報セキュリティ継続のPCで再セットアップしようとしたところ、代替機側に開発で必要なツールであるDockerがインストールできなかった
根本原因: MacのPCが古すぎてMacOSを最新にできないため、Dockerをインストールできなかった
是正処置内容: 代替機の入れ替え
是正処置担当者: 加藤匡邦
是正処置期限: 2026/03/31
是正処置実施完了した日: -
有効性確認内容: 継続計画のテストの再実行
有効性確認担当者: 加藤匡邦
有効性確認期限: 2026/03/31
有効性確認した日: -
有効性確認した結果: （記載なし）

改善の機会: 監視・測定の決定事項の記載漏れ（外部審査指摘）

カテゴリ: 改善の機会
識別番号: （記載なし）
概要: 監視及び測定が必要と決定された全ての対象に対して、規格が要求している決定事項（評価方法、実施時期、実施者、評価時期、評価実施者等）の記載がありませんでした。監視状況も含めて決定された事項については Stage2 審査で確認させて頂きます。
発生日: 2025/10/24
レベル: （記載なし）
部門: ISMS委員会
時系列（修正処置を含む）: （記載なし）
根本原因: （記載なし）
是正処置内容: （記載なし）
是正処置担当者: （記載なし）
是正処置期限: （記載なし）
是正処置実施完了した日: （記載なし）
有効性確認内容: （記載なし）
有効性確認担当者: （記載なし）
有効性確認期限: （記載なし）
有効性確認した日: （記載なし）
有効性確認した結果: （記載なし）

改善の機会: 未承認文書の承認完了

カテゴリ: 改善の機会
概要: GitHub移行時点で未承認の文書が5件ある（POL-006_SaaS等管理者規程=review、MNL-002_セキュリティインシデント対応マニュアル=review、MNL-005_内部監査マニュアル=draft、RPT-002_内部監査_テンプレート=draft、FRM-006_SaaS管理台帳_テンプレート=draft）。MNL-005とRPT-002は2026年9月の内部監査の根拠文書のため、監査前の承認が必須
発生日: 2026/06/10（GitHub移行時の棚卸しで検出）
部門: ISMS委員会
是正処置内容: 各文書のレビュー・改訂を完了し、PRマージで承認する（status: approved へ更新、FRM-001も同時更新）
是正処置担当者: 加藤匡邦
是正処置期限: 2026/08/31

改善の機会: MNL-005の文書番号参照・保存先の整合

カテゴリ: 改善の機会
概要: MNL-005（draft）の本文が現行採番と矛盾する参照を持つ — 監査計画書をRPT-001（現行: 社内規定読み合わせ記録）、監査チェックリストをFRM-002（現行: 個人別資産台帳テンプレート）、是正処置計画書をFRM-003（現行: 鈴木個人別資産台帳）と参照。記録保存先も旧共有ドライブ構成（/社外秘_ISMS/内部監査/）のまま。詳細は文書内のTODOコメント参照
発生日: 2026/06/10
部門: ISMS委員会
是正処置内容: 様式の採番整理（必要なら新規FRM/RPT採番）と保存先を docs/records/<年度>/internal-audit/ へ改める改訂を行い、承認とあわせて完了する
是正処置担当者: 加藤匡邦
是正処置期限: 2026/08/31

改善の機会: 法規制リストの整備

カテゴリ: 改善の機会
概要: POL-004_情報セキュリティ管理規程とMNL-008_情報セキュリティマニュアルが「法規制リスト」を参照しているが、実体が未作成
発生日: 2026/06/10
部門: ISMS委員会
是正処置内容: 法規制リストを様式として新規作成し（FRM採番）、参照元の注記を解消する
是正処置担当者: 加藤匡邦
是正処置期限: （未定）

改善の機会: リスクデータの突合・正規化

カテゴリ: 改善の機会
概要: (1) SecureNavi作業データのリスク89件（ISMS-リスク.csv）と承認版FRM-011_リスクリストの113件に件数差がある (2) CSVの対応後評価は89件中81件が未記入 (3) リスク対応402件（リスク対応.csv）は機械展開データのまま正規化されていない (4) ISMS-情報資産.csvの独自列（リスク候補・タグ等）のFRM-010への取込が未判断。詳細は docs/records/2025/risk-assessment/ のカバーシート2件を参照
発生日: 2026/06/10
部門: ISMS委員会
是正処置内容: 2026年度のリスクアセスメント（マネジメントレビュー指示の随時実施方式への移行）の中で、FRM-011を正としてデータを突合・正規化する
是正処置担当者: 加藤匡邦
是正処置期限: （未定）

改善の機会: 移行で検出した原文の誤記・記載不備の修正

カテゴリ: 改善の機会
概要: GitHub移行の照合作業で原文由来の誤記・不備を検出（原文忠実の原則によりそのまま転記し、TODOコメントを付与）。主な例: POL-014の前文がPOL-010の文面になっている／POL-016の管理策番号A.8.15の重複（A.8.19相当の可能性）／POL-019のA.8.7の採否理由が内容と不整合の可能性／FRM-005（加藤）のSecureNaviメール欄がsuzuki@airs.co.jp／FRM-006の相手先企業・契約情報がOpenAIの重複でSlack・GitHub・Google Workspace分が未記載／2025-A-0001・0002の有効性確認結果欄が未記入／各文書の脱字（「明記す」「責任を負」「や・」等）
発生日: 2026/06/10
部門: ISMS委員会
是正処置内容: rg "TODO" docs/ で対象を洗い出し、各文書の改訂（軽微改訂+0.1）として修正する
是正処置担当者: 加藤匡邦
是正処置期限: （未定）

改善の機会: 参照先が特定できない用語の解決

カテゴリ: 改善の機会
概要: (1) POL-006の「SaaS管理システム」の実体ツールが未特定（Adminaか要確認。文中で「SaaS管理台帳」と用語が混在） (2) POL-015の「資産台帳」が個人別資産台帳（FRM-003〜005）とAdminaの機器管理情報のどちらを指すか不明 (3) POL-008の「業務委託運用マニュアル」に該当する文書が不在（MNL-001が相当する可能性） (4) POL-017（2025-09-19承認）とDriveの内部外部課題・利害関係者リスト（2025-10-03時点）の差分確認
発生日: 2026/06/10
部門: ISMS委員会
是正処置内容: 各用語の実体を確定し、該当規程の改訂で参照を明確化する
是正処置担当者: 加藤匡邦
是正処置期限: （未定）

改善の機会: POL-001とPOL-018の方針本文重複の統合検討

カテゴリ: 改善の機会
概要: POL-001_情報セキュリティ方針とPOL-018_情報セキュリティ方針と目標（SecureNavi由来）の方針本文が重複している（DRY違反。更新漏れ・解釈ずれの温床）
発生日: 2026/06/10
部門: ISMS委員会
是正処置内容: 次回年次レビューでPOL-018を目標中心の文書に再構成しPOL-001を参照する等、統合方針を決定する
是正処置担当者: 加藤匡邦
是正処置期限: （未定）

改訂履歴

改定日	版	改定内容	承認
2026-06-10	1.0	SecureNaviのCSVエクスポートからGitHubリポジトリ（airs/isms）へ移行し台帳化。文書番号FRM-013を付与	加藤匡邦
2026-06-10	1.1	GitHub移行の照合作業で検出した課題7件を「改善の機会」として起票（未承認文書の承認、MNL-005の参照整合、法規制リスト整備、リスクデータ正規化、原文誤記修正、用語の参照先解決、POL-001/018重複統合）	加藤匡邦