セキュリティポリシーとは【用語集】

セキュリティポリシーとは

情報セキュリティポリシーの略。
情報資産の情報セキュリティ対策について総合的・体系的かつ具体的にとりまとめたもの。（後述1）
一般的には、ウェブサイトの管理者がサイト内での個人情報の扱いについて定めた規範。プライバシーポリシー、個人情報保護ポリシー。（後述2）
----

==組織における情報セキュリティポリシー==
情報セキュリティポリシー（Information Security policy）とは、企業などの組織における情報資産の情報セキュリティ対策について総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方と、情報セキュリティを確保するための体制、組織および運用を含めた規定。


次の3つのうち、1.と2.を併せて情報セキュリティポリシーという。
情報セキュリティ基本方針
:組織における、情報セキュリティ対策に対する根本的な考え方を表すものであり、組織が、どのような情報資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、組織の情報セキュリティに対する取組み姿勢を示すもの。
情報セキュリティ対策基準
:基本方針で定められた情報セキュリティを確保するために遵守すべき行為や判断などの基準。つまり基本方針を実現するために何をしなければいけないかを示すもの。
情報セキュリティ実施手順など
:ポリシーには含まれないものの、対策基準に定められた内容を具体的な情報システムまたは業務において、どのような手順に従って実行していくのかを示すものなど。

その具体的内容は、次のようなものである。
* どの情報を誰にアクセスさせ、誰にアクセスさせないか。
* どの操作を誰に対して許可し、誰に許可しないか。
* ウイルスや外部からの侵入に対して、どのような防御体制を整えるか。
* それらが正常に機能していることをどのように確認し、維持管理していくか。

それらの判断基準や、実施すべき対策を明確にすることによって、組織構成員（社員）のセキュリティに対する意識を向上させることも目的にしている。

外部に対しては、次の効果がある。
* 顧客情報・個人情報の取扱いに対するポリシーを公表し、約束することによって、不安を解消する。
* 組織内のセキュリティ対策にきちんと取り組んで、セキュリティ上の事故を防ぐ。
* 取組みをアピールすることによって、対外的なイメージや信頼性の向上を図る。

==プライバシーポリシー==
セキュリティポリシーの一般的に用いられる意味としては、
インターネットのウェブサイトにおいて、収集した個人情報をどう扱うのか（保護するのか、それとも一定条件の元に利用するのか）などを、サイトの管理者が定めた規範のこと。この意味においてプライバシーポリシー、個人情報保護ポリシーなど様々な言い方がされる。

この用法のセキュリティーポリシーは、利用規約の一部という形で記載している場合も多い。

ウェブサイトによっては、この中に「第三者に情報提供する場合がある」と明記されている場合がある。このためサイト利用者は、個人情報をインターネットに送信する際には、セキュリティーポリシーを熟読する必要がある。

免責事項には、「ウイルスなどの有害物が含まれていないこと、および第三者からの不正なアクセスのないこと、その他安全性に関する保証をすることはできません。」と記されていることがほとんどである。これは、インターネットの性質上、この責任まで負うと、大変な損害を被る可能性があるからである。

ただし、これらの場合においても、必ずしも免責が有効であるとは限らない。基本的にはウェブサイトの管理者の姿勢を宣言しているにすぎないこともある。

セキュリティポリシーは「制定している」・「持っている」だけではなんらその機能を生かすことができず、実行しなければ意味がない。