ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

関係当局とは?ISMSでの具体的な意味や例、連絡先に社内部署を指定してもよいですか?

更新日:2026/04/28 (公開日:2015/07/10)
ISMSサンプル文書集.  14,620 views
※本記事は、ISM Web store が作成・検証したものです。

ISMSの修正を行っている中で、少し疑問に思うことがありましてご質問致します。

  1. 「情報セキュリティ運営管理規程」の5.1の「関係当局」の具体的な意味と例。
  2. 「1.」の例が外部組織の場合、対象先もサンプルとは違って外部組織になるのではないでしょうか?それでも問題はないでしょうか。
  3. 「情報セキュリティ運営管理規程」の10.2に関して、JISの要求事項ではラベリングをしなければならないと規定していますが、本規程では原則行わないと示しています。これはどう解釈すれば宜しいのでしょうか。

ご質問いただいた3点について、最新規格(JIS Q 27001:2023 / JIS Q 27002:2024)の視点を踏まえて解説します。

1. 「関係当局」および「専門組織」の定義と具体例

「関係当局(A.5.5)」および「専門組織(A.5.6)」との連絡体制の維持は、インシデント発生時の迅速な対応や、最新の脅威情報の入手のために不可欠です。

  • 関係当局とは:
    セキュリティ事件・事故が発生した際や、法令遵守のために連絡・報告が必要となる公的機関やインフラ事業者のことです。
    • 例:警察(サイバー犯罪対策課)、個人情報保護委員会、総務省、自治体、監督官庁、管轄裁判所、通信事業者、消防署、水道事業者(冷却装置などを設備がある場合など)、電力・ガス会社など。
  • 専門組織とは:
    セキュリティの専門知識を共有し、最新のパッチ情報や脆弱性情報を収集するための団体です。
    • 例:IPA、JPCERT/CC、ISP(プロバイダー)、日本ネットワークセキュリティ協会(JNSA)、フィッシング対策協議会、各種業界団体、セキュリティベンダーなど。

2. 「対象先」に社内部署を記載する意図(二重管理の防止)

サンプル文書で対象先に社内部署(●●部)を記載しているのは、既存の窓口機能を活用し、ISMSによる二重管理を防ぐという実務上の工夫です。

  • 解説:
    例えば「法律・規制」のカテゴリーにおいて、本来の外部対象先は「管轄裁判所」や「弁護士」ですが、多くの組織では、現場がいきなり裁判所に連絡するのではなく、まず「法務部」や「総務部」が窓口となって対応します。
  • 判断の基準:
    サンプル通り「社内部署」を記載しても問題ありません。むしろ、ISMSのために新しい連絡ルートを作るのではなく、「外部との窓口となっている既存部署」を明記することで、組織全体として一貫した対応が可能になります。

3. 「情報のラベル付け(A.5.13)」に関する規程の解釈

JIS Q 27001ではラベル付けを求めていますが、一方で最新の実施の手引(JIS Q 27002:2024)では、作業負荷」や「逆効果(セキュリティリスク)」を考慮した柔軟な運用も認められています。

サンプル文書で「原則行わない」としているのには、以下の2つの高度な戦略的理由があります。

  • 作業負荷の最適化(実務上の理由):
    全ての情報資産(メール、メモ、資料など)に手動でラベルを貼ることは、業務効率を著しく低下させます。規格の手引でも「作業負荷を減らすために省略する場合を定めることができる」と明記されており、サンプルでは「重要資産」として分析されたものに限定して適用する現実的な運用を採用しています。
  • ハニーポット化の回避(セキュリティ上の理由):
    ラベルを貼ることは、攻撃者に対して「これが重要な情報です」と教えているようなものです(手引にある「好ましくない影響」)。そのため、あえて物理的なラベルは貼らず、システム上でのアクセス制限やメタデータによる管理で「目立たせずに守る」という判断は、合理的なセキュリティ対策の一つです。

サンプル文書では、「ラベリング(ラベル付け)」については、「情報セキュリティ運営管理規程-10.1 分類の指針」で「重要資産」として分析された資産に対して、「(秘)」または「重要資産」と印を押したり記載するなどとしているため、「ラベリングについては、原則行わない。」としております。

なお、既に「ラベル付け」のルールがある場合は、御社のルールを記載してください。
また、新たにルールを設けられる場合は、例えば紙ベースの資産では、「機密レベル」および「取扱範囲」により色分けしたラベルを、ファイル(取扱う単位)等ごとに付けるなどの方法が考えられます。

運用のヒント

  • 紙媒体:全てではなく、重要と判断されたバインダーや書類のみに「社外秘」スタンプを押す。
  • 電子媒体:全てのファイルにラベルを書くのではなく、ファイルサーバーの「機密フォルダ」に格納することで、格納場所そのものをラベルの代わりとする。

4. まとめ

サンプル文書では、お客様の現状にあわせて変更していただく部分(青波線)として記載させていただいております。

組織では、通常、各カテゴリーに関する担当部門があり、そこでは緊急連絡表などが既に組織に存在し、管理されていることが多いかと思います。
例えば、「法律、規制」などといったものは、ISMSに関わらず、組織で連絡が取れるように連絡表などを用意していたり、また顧問弁護士などと契約していたりするかと思います。

ISMSを構築する際、既存の管理体制とは別に連絡表などをつくるといった二重管理が発生することがあります。
これらを避ける措置としてご理解いただければ思います。

  • 関係当局:
    外部機関だが、規程上は「自社の窓口部署」を書くことで実務を円滑にする。
  • ラベル付け:
    「全部やる」のではなく、リスク評価に基づき「重要なものだけ」に絞ることで、形骸化を防ぎつつ規格の要求事項(見落としのない管理)を満たしています。

弊社のサンプル文書は、こうした「審査をパスするための理論」と「現場が疲弊しないための実務」のバランスを考慮して設計されています。貴社の文化に合わせて、青波線の箇所を柔軟に調整してください。

以上、ご参考ください。

ISMSサンプル文書集

文書づくりにお困りなら『ISMSサンプル文書集』

ISMSサンプル文書集は、既にISMS文書を作成されている方や書籍などを参考に独自で作成される方にでも参考になる、ISMS(ISO27001)認証取得に必要なマニュアルおよび規程書、様式を具体的に示したサンプル文書集です。

詳しくはこちら

ISM Web store

執筆・監修: カスタマーサポート

ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。


ISMSサンプル文書集
ISMSのネットワーク図にAWSや在宅勤務の範囲は含めるべきですか?
2021/07/02 ISMSサンプル文書集 4,129 views
ISMSサンプル文書集
ISMSサンプル文書の誤字・脱字に関するお知らせ(追記)
2014/12/12 ISMSサンプル文書集,商品の更新情報 4,403 views
プライバシーマーク サンプル文書集
リスク分析対策計画表とリスク対応計画書の違いをお教え下さい。
2020/01/24 Pマークサンプル文書集 3,901 views
プライバシーマーク サンプル文書集
外部文書管理台帳の「配布先」項目には、文書の取得元を記載するのでしょうか?
2023/07/18 Pマークサンプル文書集 678 views
ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

詳しくはこちら

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

詳しくはこちら

対訳ISO9001:2015品質マネジメントの国際規格

対訳ISO9001:2015品質マネジメントの国際規格

詳しくはこちら