ISMS, プライバシーマークに関するさまざまな資料と役立つリンク集

【ISMS・Pマーク】ファイルサーバでできる!電子文書管理の具体的な構築手順

公開日:2026/04/30
ISMS解説資料,Pマーク解説資料.  16 views
※本記事は、ISM Web store が作成・検証したものです。

ISMS(ISO 27001)やプライバシーマーク(Pマーク)の規程書や様式などを、MicrosoftのWordおよびExcelなどで作成し、これらの電子ファイルを、管理及び運用していきたいとお考えの方も多いのではないでしょうか

本記事では、自社のファイルサーバを活用して、低コストかつ効率的に管理・承認フローを構築する具体的な仕組みを解説します。

この記事で解決できること

  • 最適な文書管理方法の選択
  • フォルダ構成による権限と役割の明確化
  • 専用システムを使わない承認フローの構築
  • 運用を効率化・安定させるためのテクニック

目次

1. 電子ファイルの管理方法:3つの選択肢

電子ファイルの管理方法は、大きく分けて以下の3つのパターンがあります。それぞれの特徴を理解し、自組織の規模やIT環境に最適なものを選びましょう。

管理方法特徴・メリット注意点・デメリット
自組織のファイルサーバ最も安価に構築可能。既存の共有フォルダ運用をそのまま流用しやすく、導入のハードルが低い。ハードウェアの保守管理や、不測の事態に備えたバックアップ(BCP対策)を自前で行う必要がある 。
文書管理システム(DMS)文書管理に特化した高度な検索・承認(ワークフロー)機能を備え、厳格な権限管理が可能。導入・運用コストが高い。ISO/Pマーク専用として導入すると、通常業務の文書との「二重管理」になりやすい。
統合型クラウドサービスGoogle WorkspaceやMicrosoft 365等。共同編集や高度なセキュリティ機能があり、場所を問わずアクセス可能。継続的なライセンス費用が発生する。機能を使いこなすために、初期の設定や運用ルールの整備に知識が必要。

※導入・運用の容易さやコストを考慮すると「サーバ」ではなく、「NAS」という選択肢もあります。なお、カスタマイズ性及び高度な情報セキュリティ対策では「サーバ」が上です。

2. 「既存環境」での管理を“オススメ”する理由

ISMS文書やPMS文書だといって、特別なルールを設ける必要はありません。要求事項に準拠した管理方法であれば、問題はありません。よって、「文書管理システム(DMS)」や「統合型クラウドサービス」を、組織全体として運用している場合であれば、それに従うのが一番良いでしょう。「既存環境」をおすすめ理由としては、以下のとおりです。

  • ISMS文書やPマーク文書は日常の業務で使用する文書と密接に関係している
  • 特化型クラウドサービスの導入による「通常業務の文書」と分断による管理の複雑化
  • 使い慣れているシステムを整理して活用するのが最も合理的

ISMSやPマークの運用で使用する文書(契約書、委託先管理表、従業員の教育記録など)は、日常の業務で使用する文書と密接に関係しています。

セキュリティ管理に特化した専用のクラウドサービスを導入すると、「通常業務の文書」と「ISO/Pマーク用の文書」が分断されてしまい、切り分けが難しく管理が複雑化するという課題がよく見られます。

要求事項(7.5.3)を満たしつつ、事務局や従業員の負担を最小限にするには、普段使い慣れている既存のファイルサーバやクラウドサービスを整理して活用するのが最も合理的です。

3. ファイルサーバ等での具体的な管理の例

「文書管理システム(DMS)」や「統合型クラウドサービス」などの設備がない方のために、弊社のサンプル文書(「文書管理規程」)を元にした、「自組織のファイルサーバ等で管理する」場合に、誰でも迷わず運用できるフォルダ構成と承認フローの具体例をご紹介します。

文書には、大きくわけて以下の3種類に分類されます。

  • ① マニュアル・規程書
  • ② 台帳・管理表
  • ③ 様式(記録)

これらの文書を以下のような手順で管理していきます。
なお、以下の「総務部」は、文書管理の責任部門として仮に設定しております。自組織にあう部門や担当者名に置き換えてください。

3-1. 権限と役割を明確にするフォルダ構成案

アクセス権限を適切に設定するため、文書のライフサイクル(作成中・公開中・保管・廃棄)に合わせた構成にします。
誤消去や古い版の参照を防止します。

ファイルサーバ等でのフォルダ構成案

  • 01_公開用(PDF形式):

    全社員が閲覧する最新の規程・マニュアル・様式テンプレートを格納。

    • –  A_方針・マニュアル
    • –  B_規程類
    • –  C_手順書・フロー
    • –  D_記録様式(空のテンプレート)
  • 02_原本・作業用(Word/Excel形式):

    承認前の下書きや編集用ファイルを格納(作成者・承認者のみアクセス可)。
    以下のような一時フォルダを作り運用すると、状況が可視化できます。

    • 01_審査中: 作成者がファイルを投入。
    • 02_承認待ち: 審査が終わったものを移動。
    • 03_承認済み(総務処理待ち): 最終承認後に総務部がピックアップする場所。
  • 03_記録類(エビデンス):

    実施済みの様式(③)や証跡を格納。部門やシステム別に分類。

    • 01_○○部門: 部門ごと(システム別など)に、作成者がファイルを投入。
    • 99_確認済み: 上長が確認後に移動。
  • 04_旧版アーカイブ:

    改訂済みの旧版(①②)を「非管理文書」として保管。
    保管期間を過ぎた記録(③)を一時保存。

3-2. スムーズな「承認フロー」

高価なワークフローシステムを使わなくても、以下の手順で「承認の証跡」を確実に残せます。
まずは、「誰が承認したか」をPDFのスタンプやメールで残し、最終的に総務部が台帳を更新するという流れから始めるのが、現在の規程を最も活かせる方法です。

ファイルサーバ等でのスムーズな「承認フロー」

  • ステップ1:作成と改訂履歴の準備
    • –  ①②の場合:

      作成者は、「02_原本・作業用」フォルダで原本(Word等)を取得し、「02_原本・作業用/01_審査中」フォルダ内にて編集し、「改訂履歴表」に版数、改訂日、理由、内容を明記します。

      承認フロー中にファイルが迷子にならないよう、以下のように命名規則を固定します。

      例:【未承認】COM-B01-1.01_文書管理規程_20260429.docx

    • –  ③の場合:

      従業員が、「01_公開用/D_記録様式」からテンプレートを取得し、記録様式に記入します。

      記録類は数が多いため、部門ごとに「YYYYMM_記録名_担当者名」といったルールで「03_記録類」フォルダに直接保存

  • ステップ2:電子承認(持ち回り)

    専用ソフトがない場合は、以下のいずれかで「承認の証跡」を残します。

    • –  PDFスタンプ: 原本を一度PDF化し、Acrobat等の「スタンプ機能(電子印鑑)」で承認印を押印する。
    • –  メール承認: 承認者が「承認します」と返信したメールをエビデンスとして保存する。
    • –  ①②の場合:
      作成者は、作成後のファイルを「02_原本・作業用/02_承認待ち」フォルダ内にて移動し、承認を依頼。
    • –  ③の場合:
      従業員が、作成後を指定し、上長に確認又は承認を依頼。最終承認者は「03_記録類(エビデンス)/ 99_確認済み」フォルダ内にて移動。
  • ステップ3:総務部による登録・採番(①②のみ)
    • –  総務部は、承認済みの文書を受け取り、「内部文書管理台帳」に新しい版数や発行日を登録し、管理番号を確定させます。
    • –  規程に基づき、この時点で原本をPDF形式に変換します。
  • ステップ4:公開とアーカイブ(①②のみ)
    • –  公開:
      総務部がPDFを「01_公開用」フォルダへ格納し、全社員へ周知します。
    • –  旧版処理:
      旧版は「非管理文書」と明記してアーカイブフォルダへ移動します。誤用を防ぐために、最新版以外は参照できない場所に隔離する。

3-3. 廃棄・管理のポイント

以下ように、「編集する場所(原本)」と「閲覧する場所(PDF)」を物理的に分けることで、誤った改訂や古い版の参照を確実に防ぐことができます。

  • 識別管理:
    ファイル名には必ず規程どおりの「文書管理番号(例:COM-A01-1.01)」を含めます。
  • 保管期間の起算:
    記録(③)の保管期間は、「当該年度を含めず次年度の年度始め」からカウントします。
  • 廃棄処理:
    保管期間が経過したものは、年度末に総務部長の承認を得てサーバから削除し、台帳に記録します。

4. 効率的な運用を始めるための5つのポイント

さらに運用を安定させ、審査の際にもプラスの評価を得るための重要なポイントをまとめました。

  • ① アクセス制限の徹底(フォルダ・ファイル)

    機密性保持のため、フォルダごとに適切な権限を設定します。公開用フォルダは全社員読み取り専用とし、原本を管理するフォルダは作成者と承認者のみにアクセスを制限することで、意図しない改ざんや削除を防ぎます。

  • 様式のPDF化と入力枠の活用

    記録様式をPDFの「入力フォーム機能」付きで作成することをおすすめします。PC上で直接入力でき、フォントやレイアウトが崩れないため、証跡(記録)の標準化と記入ミスの防止に繋がります。

  • ③ バックアップと滅失対策

    電子媒体で記録を管理する場合、バックアップは必須です。ファイルサーバの自動バックアップ設定に加え、文書の移動時にも事前にバックアップを取るよう規程で定め、データの滅失という不測の事態に備えます。

  • ④ アクセスログの活用

    「誰が・いつ・どの文書に」アクセスしたかのログを記録しておくことは、ISMSやPマークの証跡管理において非常に有効です。万が一の漏洩事故の際の原因調査だけでなく、適切な承認フローを経て文書が扱われているかの証明にもなります。

  • ⑤ LLM(大規模言語モデル)の活用

    最新の効率化手法として、LLMの活用も期待されています。

    • –  規定や手順書の草案作成:
      サンプル文書集を元に、自社の実態に合わせた規定への変更や手順書のドラフトを生成する。
    • –  文書間の整合性チェック:
      規程と手順書、あるいは旧版と新版の内容に矛盾がないかを瞬時に比較確認する。
    • –  要約と周知:
      長文のマニュアルを要約し、社員向けの周知メール文面を作成する。

その他、以下のような工夫もあります。

  • 文書管理番号の工夫次第で色々な区分
    • –  誤削除のリスクはあるが、フォルダ数が少なくなり階層も深くならない。
    • –  機密区分なども分類できる。
      [例] P:公開(Public)、I:内部(Internal)、C:機密(Confidential)、S:特機密(Strict)
  • Officeソフトなどであれば簡単に出来る「変更履歴機能」を活用
    • –  元の文章を残したまま修正できる
    • –  誰がどこを直したか一目でわかる
    • –  修正内容を承認/却下できる

5. よくある質問

文書作成などに関して、実務担当者様からよくいただくご質問をまとめました。

これらの回答を含め、ISMSサポートブログでは具体的なQ&Aを多数公開しております。実務のヒントとしてぜひご活用ください。

【参考】文書管理に関するお悩み解決ガイド || ISM Web store サポートブログ

6. まとめ

文書管理の仕組みをゼロから構築するのは時間がかかります。まずは、規格の要求事項を網羅した「ベースとなる文書」を整え、それを自社の環境(ファイルサーバ等)に当てはめていくのが近道です。

弊社では、そのまま実務に活用できる「ISMSサンプル文書集」や「プライバシーマーク サンプル文書集」を販売しています。これらを活用してシステムを構築し、今回ご紹介した管理方法を組み合わせることで、審査にも耐えうる堅実な運用をスムーズに開始いただけます。

ISMSのための従業員や内部監査員の教育に使える資料集(テスト付き)
情報セキュリティ確認テスト問題集(805問)も収録

ISMS社員教育用テキスト

ISMS社員教育用テキストは、ISMSのための「運用教育」の他、新入社員・中途採用の教育(テスト付)、内部監査員育成のための教育、「情報セキュリティ基礎知識の確認テスト集」など、教育場面にあったテキストが収録されています。

詳しくはこちら

ISM Web store

執筆・監修:ISM Web store カスタマーサポート

ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

詳しくはこちら

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

詳しくはこちら

対訳ISO9001:2015品質マネジメントの国際規格

対訳ISO9001:2015品質マネジメントの国際規格

詳しくはこちら