6.2 情報セキュリティ目的及びそれを達成するための計画策定

項目	内容
改訂日	2024.04.01
適用範囲	全社
箇条番号	6.2
分類	計画策定

要求事項

組織は、関連する機能及び階層において、情報セキュリティ目的を確立しなければならない。

情報セキュリティ目的は、次の事項を満たさなければならない。

• a) 情報セキュリティ方針と整合している。
• b) （実行可能な場合）測定可能である。
• c) 適用される情報セキュリティ要求事項、並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
• d) これを監視する。
• e) これを伝達する。
• f) 必要に応じて、更新する。
• g) 文書化した情報として利用可能な状態にする。

組織は、情報セキュリティ目的に関する文書化した情報を保持しなければならない。

組織は、情報セキュリティ目的をどのように達成するかについて計画するとき、次の事項を決定しなければならない。

• h) 実施事項
• i) 必要な資源
• j) 責任者
• k) 達成期限
• l) 結果の評価方法

目的

情報セキュリティ方針と整合した具体的な目的を設定し、その達成に向けた計画を策定することで、ISMSの有効性を確保し、継続的改善を推進するため。

当社における実施状況

情報セキュリティ目的

当社は、「情報セキュリティ基本方針」と整合した以下の情報セキュリティ目的を設定している。

目的	測定指標	目標値	責任者
情報セキュリティインシデントの防止	重大インシデント（レベル2以上）の発生件数	0件/年	CTO
情報セキュリティ教育の徹底	教育受講率	100%	管理部責任者
アクセス権限の適正管理	退職者アカウントの即時無効化率	100%	CTO
リスクアセスメントの実施	年次リスクアセスメント実施	1回/年	情報セキュリティ責任者
法令・規制要件の遵守	法令違反・指摘事項	0件/年	情報セキュリティ責任者

達成計画

各情報セキュリティ目的について、以下の計画を策定している。

情報セキュリティインシデントの防止

項目	内容
実施事項	技術的管理策の維持・改善、脅威情報の収集・共有、インシデント対応訓練
必要な資源	クラウドサービスのセキュリティ機能、監視ツール
責任者	CTO
達成期限	通年（年度末に評価）
評価方法	インシデント記録の集計、マネジメントレビューでの報告

情報セキュリティ教育の徹底

項目	内容
実施事項	入社時教育、年次教育、随時の注意喚起
必要な資源	教育資料、Slack等のコミュニケーションツール
責任者	管理部責任者（または代表取締役）
達成期限	入社時：入社後1週間以内、年次：8月
評価方法	教育実施記録（Slack反応等）の確認

アクセス権限の適正管理

項目	内容
実施事項	入退社時のアカウント管理、イベント駆動型の権限見直し
必要な資源	Microsoft Entra ID、Google Workspace管理コンソール
責任者	CTO
達成期限	退職時：退職日当日、権限変更：役割変更時
評価方法	アカウント管理記録の確認

リスクアセスメントの実施

項目	内容
実施事項	年次リスクアセスメント、臨時アセスメント（必要時）
必要な資源	情報資産台帳、リスクアセスメント手順書
責任者	情報セキュリティ責任者（代表取締役）
達成期限	8月（マネジメントレビュー前）
評価方法	リスクアセスメント報告書の作成・承認

法令・規制要件の遵守

項目	内容
実施事項	法令動向の監視、契約要件の確認、内部監査
必要な資源	法令情報源、契約管理システム
責任者	情報セキュリティ責任者（代表取締役）
達成期限	通年
評価方法	内部監査結果、外部からの指摘有無

監視・伝達・更新

監視： 情報セキュリティ目的の達成状況は、年1回のマネジメントレビュー（8月）において確認する。

伝達： 情報セキュリティ目的は、本文書及び情報セキュリティ基本方針を通じて全従業員に伝達する。

更新： 情報セキュリティ目的は、マネジメントレビューの結果、事業環境の変化、リスクアセスメント結果等を踏まえ、必要に応じて更新する。

関連文書

• 情報セキュリティ基本方針
• 1. 組織的対策
• 2. 人的対策
• 4. アクセス制御及び認証
• 14. 情報セキュリティリスクアセスメント
• 10. インシデント対応及び事業継続管理