ISMSマニュアルがなくても、個別に要求する「文書化した情報」が規定や手順書や記録として残ればよいのでしょうか。
「ISMSサンプル集」には、ISMSマニュアルがあります。
ISMSマニュアルは ISMS全体を記述したものだと思います。
しかし、資料の中の「要求事項理解のためのガイド」のP.46で、文書化した情報には、JIS Q 27001が要求する「文書化した情報」一覧があり、この中には、ISMSマニュアルに該当するような全体を記述するものはありません。
ISMS構築の際に、ISMSマニュアルがなくても、個別に要求する「文書化した情報」が規定や手順書や記録として残ればよいのでしょうか。
ISMSマニュアルは、組織の情報セキュリティマネジメントシステムについての要求事項を記した文書。いわゆる、ISO/IEC 27001の要求事項に対して、組織がどのように対応しているかを示す文書となります。
結論から申し上げますと、現在のISO/IEC 27001において「ISMSマニュアル」という名称の文書を作成する義務はありません。しかし、なぜ多くの組織が(そして弊社のサンプル集が)あえてマニュアルを作成し続けているのか。その実務的な背景と戦略的メリットを以下に整理します。
1. 規格上の結論:マニュアルは「必須」ではない
ご指摘のとおり、ISO/IEC 27001ではISMSマニュアルを作成することは要求されていないため、ISO/IEC 27001の「7.5 文書化した情報」の「7.5.1 一般」に基づく文書化した情報(規程書や手順書、記録など)があれば、問題はありません。
ISO/IEC 27001(JIS Q 27001)の「7.5 文書化した情報」では、以下の2点を要求しています。
- 規格が要求する文書化した情報(適用範囲、情報セキュリティ方針、リスクアセスメントの結果など)
- 組織がISMSの有効性のために必要と判断した文書化した情報
つまり、個別の規程や手順書、記録が整っており、それらが規格の各箇条と紐付いて運用されていれば、全体を俯瞰する「マニュアル」がなくても審査上の不適合にはなりません。
ちなみに、要求されている「文書化した情報」(規格で要求されているもの)以外にどのような文書化した情報が必要かを判断するのは、組織の裁量であり責任とされています。
これは組織毎に必要な程度は異なるため、「7.5.1 一般」の注記に列挙されている要因を参考とすることが基本となります。
なお、ISMS以外の目的で作成されていない「既存の文書(社内規定や手順書、契約書など)」も、「文書化した情報」として利用することも可能です。
2. なぜ「ISMSマニュアル」という文化が生まれたのか
ISMSマニュアルが作られるようになったのは、品質マネジメントシステム(ISO 9001)の歴史が深く関わっています。
① ISO 9001の影響
かつてのISO 9001(2008年版まで)では、「品質マニュアル」の作成が明文で要求されていました。ISMSもその構成をモデルに構築されることが多かったため、慣習的に「マニュアル」が作られるようになりました。
- 品質マネジメントシステムの文書には,「品質マニュアル」を含めなければならない。(JIS Q 9001:2008)
→ その後、“品質マニュアル”などの用語は、「“文書化した情報を維持する”という要求事項」と規定。 - 「品質マニュアル」とは、組織の品質マネジメントシステムを規定する文書。(JIS Q 9000:2006)
→ その後 「組織の品質マネジメントシステムについての仕様書(JIS Q 9000:2015)」に変更。
② 附属書SLによる統合
2013年(ISMS)、2015年(QMS)の改正により、全てのマネジメントシステム規格は「附属書SL」という共通構造を持つようになりました。この際、特定の名称(マニュアル等)の文書要求が撤廃され、「文書化した情報」という柔軟な表現に統一されました。
※ISO/IEC 27000:2018(用語定義)の解釈
「文書化した情報」の例として「関連するプロセスを含むマネジメントシステム」が挙げられています(注記2)。これは実質的に、システム全体を解説する「仕様書=マニュアル」を指していると解釈できます。
規格の改正後、ISO9001において「品質マニュアル」の要求事項がなくなり、ISO27001においても、もともとISMSマニュアルに関する要求事項及び用語の定義もないため、「ISMSマニュアル」が無くても良い状態にありながら、要求事項の親和性の高まりにより、「ISMSマニュアル」もマネジメントシステムの仕様書として意味を持つようになりました。
3. サンプル文書集に「ISMSマニュアル」を含めている3つの戦略的理由
実務においては、マニュアルが存在することで「運用コスト」と「審査リスク」を大幅に下げることができます。
① 規格要求事項への「適合性」の証明(ロードマップ機能)
審査において、「箇条4.1の組織の状況はどう定義されていますか?」と問われた際、マニュアルがあれば「マニュアルの第〇章に記載し、詳細は別紙の分析表で管理しています」と即座に回答できます。マニュアルは、バラバラになりがちな各規程を規格の要求事項と繋ぎ止める「インデックス(目次)」の役割を果たします。
② 組織の「裁量と責任」の明文化
規格は「何が必要か」は決めていますが、「どの程度の詳細さで書くか」は組織の裁量に任せています。マニュアルで自社のマネジメントシステムの全体像(仕様)を定義しておくことは、「我が社はこのような考えでISMSを設計した」という宣言になり、ガバナンスの根拠となります。
③ 既存文書との橋渡し
ISMS専用に作った規程だけでなく、既に社内にある「就業規則」や「秘密保持契約書」などをISMSの一部として活用する場合、マニュアルでそれらを紐付けることで、二重に文書を作る手間を省くことができます。
4. 検討のアドバイス:貴社にとっての最適解
マニュアルを作成するかどうかは、以下の基準で判断されることを推奨します。
| 項目 | マニュアルを「作成する」メリット | マニュアルを「作成しない」メリット |
|---|---|---|
| 審査対応 | 全体像を説明しやすく、審査がスムーズ。 | 審査員に各規定の関係性を口頭で説明する力が求められる。 |
| 教育・周知 | 新入社員等がISMSの全体像を把握しやすい。 | 必要な手順書だけを見れば良いため、情報量が絞れる。 |
| 保守管理 | 規程の変更時に、全体への影響を確認しやすい。 | 文書数が減るため、管理の手間が少ない。 |
5. ISMSマニュアルは「システムの設計図」
建物に設計図が必要なように、マネジメントシステムにも設計図が必要です。当店のサンプル集に含まれるISMSマニュアルは、単なる規格の引き写しではなく、「審査員が納得し、かつ実務担当者が迷わないためのガイド」として設計されています。
まずはマニュアルをベースに全体像を把握し、自社の規模や文化に合わせて「これは個別規程で十分だ」と判断した箇所を削ぎ落としていくアプローチが、最も効率的で失敗の少ない構築方法です。
まとめ
マニュアルの有無よりも重要なのは、「自社のリスクに対して、どの文書がどのような役割を果たしているか」を組織として把握できていることです。そのための整理ツールとして、ぜひマニュアルをご活用ください。
