「ISMSマニュアル 1.2適用(2)適用除外項目」の定義について
「ISMSマニュアル 1.2適用(2)適用除外項目」の定義について疑問があります。
ここでいう除外項目とは、弊社で行っている業務すべてのうち、適用範囲の業務以外の業務でしょうか。
それとも適用範囲内の業務の中でも除外する内容があるときに記述する者でしょうか。
また、上記解釈のどれとも異なる場合はご教授をお願いします。
ご質問ありがとうございます。ISMSマニュアルにある「適用除外項目」の定義について回答申し上げます。
結論から申し上げますと、ご質問にある2つの解釈はいずれも規格上の定義とは異なります。ここでいう除外とは、「組織の業務を除外すること」ではなく、「ISO 27001の規格が求めているルール(管理策)の中に、自社には物理的に存在しないものがある場合に、それを適用しないと宣言すること」を指します。
以下に、正しく理解するための3つのポイントを整理しました。
1. 「業務の範囲」と「ルールの除外」の違い
まず、ISMSの「適用範囲」には2つの側面があることを理解する必要があります。
- 物理的・組織的な適用範囲:
「どの拠点、どの部署、どの業務をISMSの対象にするか」を決めるものです。ご質問にある「適用範囲外の業務」は、そもそもこの段階でISMSの枠組みから外れます。 - 管理策の適用除外(今回の箇所):
ISMSの対象となった業務の中で、ISO 27001の附属書Aに並んでいる1~93個の管理策(ルール)のうち、「自社には対象となる資産や活動が一切存在しないため、実施する必要がないもの」を除外することです。
2. 具体的な適用除外の例
どのような場合に除外が認められるのか、具体例を挙げます。
- 「8.31 安全な開発ライフサイクル」の除外:
自社でソフトウェア開発を一切行っておらず、外部から購入したツールを利用するだけの場合、この開発に関するルールは「適用除外」にできます。 - 「7.1 物理的セキュリティ境界」の除外:
(極めて稀ですが)物理的なオフィスを一切持たず、完全にバーチャルな環境のみで事業を行っている場合などは、物理的境界に関する対策を除外対象として検討できます。
3. 実務上の注意点:勝手に「やらない」とは決められない
「面倒だから」「リソースがないから」という理由で管理策を除外することは認められません。
- 正当な理由が必要:
除外する際は、必ず「なぜ自社にはこの管理策が必要ないのか」という正当な理由を「適用宣言書」に明記しなければなりません。 - リスクアセスメントの結果が優先:
基本的には、附属書Aの管理策はすべて適用することが推奨されています。リスクアセスメントを実施した結果、リスクを低減するために必要だと判断されたものは除外できません。
4. 弊社サンプル文書集での対応方法
弊社の「ISMSサンプル文書集(JIS Q 27001:2023対応版)」では、管理策の取捨選択をスムーズに行えるよう以下の資料を収録しています。
- リスクマネジメント管理規程:
どの管理策を採用し、どれを除外するかを判断するためのプロセスを定義しています。 - ギャップ分析対策表(附属書A対応表):
93項目の管理策一つひとつについて、自社の現状と照らし合わせ、「適用・非適用」を判定し、その理由を記載できる構成になっています。
まずは、マニュアルの「1.2 適用」の箇所には、「附属書Aの管理策のうち、自社の業務形態に該当せず除外したものがある場合に、その項目と理由を記載する」と解釈して準備を進めてください。
