お知らせ中小企業のセキュリティ規程テンプレート|AI時代の必須9項目【2026年版】
はじめに:セキュリティ規程は「経営者の防衛策」
中小企業のサイバー被害が急増する2026年、セキュリティ規程の整備は法的義務に近い扱いとなっています。本記事では、すぐに使える9項目のテンプレートを提供します。
必須9項目テンプレート
1. 情報資産の分類と取扱
“`
- 機密情報(経営戦略・財務情報):暗号化必須
- 個人情報(顧客・従業員):法令遵守
- 業務情報(社内文書):アクセス制御
- 公開情報(HP・SNS):制限なし
“`
2. アカウント・パスワード管理
“`
- 全アカウントに二要素認証を必須化
- パスワード:12文字以上・英数記号混在
- 90日ごとに強制変更
- 共有アカウント禁止
“`
3. デバイス管理
“`
- 業務用PCはEDR導入必須
- スマートフォンはMDM管理
- BYOD(私物デバイス)は事前申請制
- 紛失時は即座にリモートワイプ
“`
4. ネットワーク・通信
“`
- 公衆Wi-Fi利用時はVPN必須
- 自宅Wi-Fiもセキュリティ設定確認
- 業務用クラウドは指定サービスのみ
- USBメモリ等の外部記憶媒体は原則禁止
“`
5. AI・生成AI利用ルール(重要・新項目)
“`
- 機密情報・個人情報の入力禁止
- 利用可能なAIツール一覧(ホワイトリスト)
- AI出力の人間レビュー必須
- AI生成物の著作権確認
- AIアカウント管理者明確化
“`
6. 在宅勤務・リモートワーク
“`
- 在宅勤務時のセキュリティ環境チェックリスト
- 自宅Wi-Fi暗号化設定の確認
- 家族との共有PC禁止
- 業務用画面の覗き見防止
- 退勤時のシャットダウン徹底
“`
7. 外部委託先管理
“`
- 委託先のセキュリティ評価書取得
- NDA(秘密保持契約)必須
- データ取扱権限の明確化
- 月次・四半期の状況確認
“`
8. インシデント対応
“`
- 異常発見時の連絡フロー
- 第一報:発見者→上司→IT管理者
- 30分以内に経営者に報告
- 警察・サイバー保険会社への連絡
- 事後の再発防止策まとめ
“`
9. 教育・訓練
“`
- 全従業員年1回以上のセキュリティ研修
- フィッシング訓練年4回
- 新入社員オンボーディング時に徹底
- 違反時の処罰規定明確化
“`
AI利用規程の詳細(最重要)
2026年現在、生成AI利用規程は最も重要なポイントです。
利用可リスト(ホワイトリスト)
| ツール | 利用可否 | 入力可情報 |
|---|---|---|
| ChatGPT Team | ◎ | 業務一般情報 |
| Claude Pro | ◎ | 業務一般情報 |
| Gemini | ◎ | 業務一般情報 |
| MIKATA | ◎ | 経営情報含む(NDA済) |
| 個人版ChatGPT | △ | 業務利用禁止 |
| 不明な海外AI | × | 全面禁止 |
入力禁止情報
- 顧客個人情報
- 従業員個人情報
- 取引先機密情報
- 経営戦略(未公開)
- 財務情報(未公開)
入力推奨
- 公開情報の整理・要約
- 一般的な業務質問
- アイデア出し(具体名なし)
- 文書添削(個人情報削除済)
規程作成の3ステップ
STEP 1:自社の業種・規模に合わせて調整
業種特性を反映(医療・士業は特に厳格に)。
STEP 2:従業員説明会で全員に周知
文書配布+研修で理解を深める。
STEP 3:定期見直し(年1回以上)
技術進化・法令変更に合わせて更新。
補助金で予算を確保
| 補助金 | 対象 | 補助率 |
|---|---|---|
| IT導入補助金(セキュリティ枠) | EDR・規程整備 | 1/2 |
| 業務改善助成金 | 規程整備+研修 | 75〜90% |
まとめ:セキュリティ規程は「リスク管理の起点」
セキュリティ規程の整備は、経営者の善管注意義務としてますます重要視されています。AI時代に対応した最新版で整備することが必須です。
セキュリティ+経営判断を統合的に支援するなら、14日間PoC無料のMIKATAで経営参謀の効果検証から始めるのがおすすめです。
