コンテンツにスキップ
AIRS ISMS

内部外部課題・利害関係者リスト

context 2025年度 2025-10-03 作成: ISMS委員会

本ドキュメントは、ISO/IEC 27001:2022 における
・4.1 「組織及びその状況の理解」
・4.2 「利害関係者のニーズ及び期待の理解」
に対応するため、当社の内部・外部の課題および利害関係者とその要求事項を整理し、2025/10/03 時点での状況を反映したものである。

組織及びその状況の理解 (4.1)

Section titled “組織及びその状況の理解 (4.1)”

当社の情報セキュリティマネジメントシステム(ISMS)に影響を与える内部課題および外部課題を以下のとおり整理する。

外部課題

Section titled “外部課題”
  • 個人情報保護法改正(2022年施行)
    • 300人以下の中小企業にも罰則付き報告義務が課せられた
    • 個人データ漏えい時に 72時間以内に個人情報保護委員会(PPC)へ速報、30日以内に詳細報告 が必要になった
    • 本人への通知も必須化
  • 不正アクセス禁止法・脆弱性対応遅れによる責任追及
    • 委託先や社内開発環境でのID管理不備・脆弱性放置が元請け企業の責任とされる事例あり(ベネッセ漏えい事件、Yahoo! SQLインジェクション事件等)。
  • 委託元からの要求の高まり
    • 委託契約に基づくセキュリティ要求事項の増加
  • サイバー攻撃トレンド(ランサムウェア、フィッシング等)
    • サプライチェーンや委託先を狙った攻撃
    • システムの脆弱性を突いた攻撃
    • リモートワーク等の環境や仕組みを狙った攻撃
  • 委託元提供のSaaS利用に伴う制約
    • 当社の開発・運用業務では、委託元が提供するクラウド/SaaS環境を利用する。
    • 環境の可用性や設定変更リスクは委託元管理に依存しており、自社では制御できない。
    • したがって、当社としては 委託元の指示遵守、アカウント管理やログ記録の適正化、インシデント報告責任 に注力する必要がある。
  • 情報セキュリティ事故に対する社会的信頼の低下
    • 事故発生時に社会・顧客からの信頼失墜につながるリスク。透明性のある説明責任と迅速な対応が求められる。

内部課題

Section titled “内部課題”
  • セキュリティ専任者が不在
  • 社内規程の整備が遅れていた
    これまで社内に明文化されたセキュリティ規程が存在せず、担当者の暗黙知や慣習で運用していた。
    今回のISMS認証取得にあたり、規程類を体系的に整備した。
    文書化されたルールがまだ浸透していない。
    「規程に基づく運用」と「現場の慣習」の間にギャップがある。
    今後は教育・監査を通じて規程を日常業務に根付かせる必要がある。
  • 社内規程の運用実績不足
    規程類は作ったばかりで、「運用実績」「監査記録」がまだ乏しい。
    インシデント管理規程 → マニュアルはあるが、本格的な演習や記録管理はこれから。
    文書はあるが「実際に回してみて改善するサイクル(PDCA)」が未成熟。
    内部監査やマネジメントレビューでの改善が必須。
  • 規程と業務フローの整合性
    規程類はいわゆる理想を元に策定されたが、現場オペレーションと合っていない部分がある可能性がある。
    規程と現実業務のギャップを解消するための改善サイクルが必要。
  • 教育の徹底不足
    規程類が整備されたばかりで浸透していない。

利害関係者のニーズ及び期待の理解 (4.2)

Section titled “利害関係者のニーズ及び期待の理解 (4.2)”

当社のISMSに影響を与える利害関係者およびそのニーズを以下のとおり整理する。

顧客/委託元

Section titled “顧客/委託元”
  • 契約や委託契約で定められたセキュリティ要求事項を遵守すること
  • 顧客データの漏えい防止、機密保持契約(NDA)の厳守
  • インシデント発生時の速やかな報告

規制当局(個人情報保護委員会、監督官庁)

Section titled “規制当局(個人情報保護委員会、監督官庁)”
  • 個人情報保護法等の法令遵守
  • インシデント発生時の通報義務の適正な履行

従業員

Section titled “従業員”
  • セキュリティ教育・ルールの明確化
    何をしてはいけないかを簡潔に知りたい。判断に迷うと業務が滞る。
  • 効率とセキュリティの両立
    セキュリティ規程が細かすぎると作業が遅れる。
    「最低限守るべきこと」を明確にして、余計な負担を避けたい。
  • 便利な業務環境の維持
    業務で使うツールが過度に制限されると仕事効率が下がる。
    SaaSや開発環境利用時の申請プロセスが簡素であることを期待。
  • 個人情報・プライバシーの保護
    情報資産の安全な利用環境(セキュリティ教育・手順明確化)
    個人情報の適切な取り扱いと労働者としてのプライバシー保護

経営層(代表取締役・役員)

Section titled “経営層(代表取締役・役員)”
  • 会社の信用・ブランド維持
  • セキュリティリスクを低減し、事業継続性を確保すること

サプライヤー・外部委託先

Section titled “サプライヤー・外部委託先”
  • 契約条件の明確さ
    セキュリティ要求(アクセス制御、インシデント報告、秘密保持)の範囲を契約で明示してほしい。
  • 責任分界点の明確化
    「どこまでが発注元責任で、どこからが委託先責任か」をはっきりしてほしい。
  • 情報共有・指示の一貫性
    ISMS関連ルールや作業手順が頻繁に変わると混乱する。安定した情報提供・周知を求める。
  • 監査や是正要求が過剰でないこと
    発注元の監査に応じるのは当然だが、コスト過多になるほどの監査要求は避けたい。
  • 信頼関係の維持
    不必要に「疑う前提」ではなく、協力関係として扱ってほしい。

社会・一般利用者

Section titled “社会・一般利用者”

当社が直接契約していないが、委託元のサービスを利用する一般ユーザー、
消費者団体、地域住民、マスコミ、株主、取引市場など、会社活動全体のステークホルダー、被害を受ける可能性のある第三者

  • 個人情報やプライバシーの保護
    漏えいや不正利用がないこと(安心してサービスを使えること)
  • サービスの安定提供
    サービスやシステムが安定稼働していること(委託先としての信頼性)
  • 事故時の透明性ある説明
    情報漏えいや障害が発生した際、社会に対して正直かつ速やかに説明されること
  • 法令遵守・倫理性
    法律違反や不正を起こさないこと、社会的に誠実な企業活動を行うこと