コンテンツにスキップ
ISMSマニュアル

4.3 ISMSの適用範囲の決定

項目内容
改訂日2026.03.04
適用範囲全社
箇条番号4.3
分類組織の状況

要求事項

Section titled “要求事項”

組織は、ISMSの適用範囲を定めるために、その境界及び適用可能性を決定しなければならない。

この適用範囲を決定するとき、組織は、次の事項を考慮しなければならない。

a) 4.1に規定する外部及び内部の課題 b) 4.2に規定する要求事項 c) 組織が実施する活動と他の組織が実施する活動との間のインターフェース及び依存関係

適用範囲は、文書化した情報として利用可能な状態にしておかなければならない。

目的

Section titled “目的”

ISMSが適用される組織の範囲を明確にし、情報セキュリティ管理の対象を特定するため。

当社のISMS適用範囲

Section titled “当社のISMS適用範囲”

適用範囲に含まれる事業・組織

Section titled “適用範囲に含まれる事業・組織”

当社のISMSは、スパトレ株式会社 語学教育事業部を適用範囲とする。語学教育事業部は、以下の部門で構成される。

  • システム部(日本)
  • 管理部(日本)
  • 営業部(日本)

語学教育事業部は当社の主力事業であり、官公庁・地方教育委員会・一般のお客様の機密情報及び個人情報を取り扱うため、ISMSの適用範囲に含める。

物理的な適用範囲

Section titled “物理的な適用範囲”

物理オフィスの範囲については、以下の文書を参照すること。

適用範囲から除外する事業・組織

Section titled “適用範囲から除外する事業・組織”

以下の事業及び組織は、リスクベースアプローチに基づく評価の結果、ISMSの適用範囲から除外する。

atomico(学童)事業

Section titled “atomico(学童)事業”

atomico事業は以下の理由により、ISMSの適用範囲から除外する。

  1. 新規事業としての位置づけ: atomico事業は立ち上げ段階の新規事業であり、事業規模が限定的である。事業の成熟度に応じて、将来的にISMS適用範囲への組み入れを検討する。

  2. 事業影響度の限定性: atomico事業で取り扱う情報資産の規模は小さく、万一のインシデント発生時においても、当社全体の事業継続性への影響は極めて限定的である。

  3. 既存事業との独立性: atomico事業は語学教育事業とは独立した事業運営を行っており、情報システム・情報資産の共有が限定的である。両事業間のインターフェース及び依存関係が低いため、語学教育事業のセキュリティリスクへの波及は想定されない。

  4. リソースの最適配分: 限られた情報セキュリティ管理リソースを、より高いリスクを有する語学教育事業部に集中させることで、ISMS全体の有効性を高める。

コーチング事業部(フィリピン)

Section titled “コーチング事業部(フィリピン)”

コーチング事業部(フィリピン)は以下の理由により、ISMSの適用範囲から除外する。

  1. 人員の流動性: コーチング事業部は人員の入れ替わりが激しく、継続的なISMS運用体制の維持が困難である。

  2. 事業影響度の限定性: コーチング事業部でインシデントが発生した場合においても、当社の事業継続性への影響は極めて低い。コーチング業務は代替可能性が高く、サービス提供の継続に重大な支障を来すことは想定されない。

  3. 機密情報へのアクセス制限: コーチング事業部がアクセスできる情報は、レッスン実施に必要な最小限の情報に限定されており、機密性の高い情報資産へのアクセス権限は付与されていない。

  4. 技術的分離: コーチング事業部が利用するシステムは、日本側の基幹システムとは利用するアプリケーション、アクセスが分離されている。

適用範囲の図示

Section titled “適用範囲の図示”
flowchart TB
    subgraph scope["ISMS適用範囲"]
        subgraph edtech["語学教育事業部"]
            SYS[システム部]
            ADMIN[管理部]
            SALES[営業部]
        end
    end

    subgraph outofscope["適用範囲外"]
        subgraph atomico["アトミコ事業部"]
            ATOMICO_OP[学童運営]
        end
        subgraph coaching["コーチング事業部(フィリピン)"]
            COACH_PH[コーチング組織]
        end
    end

    style scope fill:#e8f5e9,stroke:#4caf50,stroke-width:2px
    style outofscope fill:#ffebee,stroke:#f44336,stroke-width:2px

適用範囲除外の妥当性確認

Section titled “適用範囲除外の妥当性確認”

適用範囲から除外した事業・組織については、以下の観点から妥当性を確認している。

除外対象リスク評価事業影響度情報資産の独立性除外の妥当性
アトミコ事業部限定的高(独立運営)妥当
コーチング事業部(フィリピン)極めて低高(技術的分離)妥当

適用範囲の見直し

Section titled “適用範囲の見直し”

適用範囲は、以下の場合に見直しを行う。

  • 年1回のマネジメントレビュー時
  • 事業構造に重大な変化が発生した場合
  • 除外対象の事業規模が拡大した場合
  • 除外対象と適用範囲内の事業との依存関係が増加した場合

特にatomico事業については、事業の成長に伴い、取り扱う情報資産の規模や機密性が増加した場合には、ISMS適用範囲への組み入れを検討する。

関連文書

Section titled “関連文書”