【テンプレあり】英語セキュリティポリシーの書き方｜ITプロジェクトで使える日英フォーマット付き

英語でセキュリティポリシーを作るよう求められたとき、何をどこまで書けばいいか迷った経験はないだろうか。

セキュリティポリシーはシステムや情報資産を守るためのルールを定めた組織の基準文書だ。グローバルチームでは英語が基本になるが、6つのセクション構成さえ押さえれば英語でも問題なく書ける。

この記事では、セキュリティポリシーに必要な6つの構成要素と、そのまま使える日英テンプレートを紹介する。コピペして使えばすぐに実務で活用できる。

セキュリティポリシーに必要な6つの構成要素

セキュリティポリシーは組織が守るべき情報セキュリティのルールを文書化したものだ。以下の6つが標準的な構成要素になる。

基本情報（Document Info）
目的・適用範囲（Purpose & Scope）
情報分類（Information Classification）
アクセス管理（Access Control）
インシデント対応（Incident Response）
コンプライアンス・罰則（Compliance & Enforcement）

なぜ英語で書くのか

グローバルチームではセキュリティポリシーも英語が共通言語になる。英語で書くことで、海外のチームメンバー・監査機関・外部パートナーとも同じ基準でセキュリティを管理できる。

「読んだ人が何をすべきかわかる」ことが、セキュリティポリシーの最大の目的だ。

セキュリティポリシーと手順書の違い

セキュリティポリシーは「何をしてはいけないか・なぜそのルールが必要か」を定めた方針文書だ。一方、手順書（Procedure）は「どのように実行するか」を具体的に記述する実務文書になる。ポリシーが変わらない原則を定め、手順書がその実装方法を示す構造が標準的だ。

セキュリティレビューで使える英語フレーズはエンジニアの英語セキュリティレビュー術でも確認してほしい。

テンプレートをダウンロード（Word）

以下のWordファイルをダウンロードして、プロジェクトに合わせてカスタマイズして使ってほしい。表の列・行はそのまま追加・削除できる。

📥 日本語テンプレートをダウンロード（Word）
📥 Download English Template (Word)

日本語版テンプレート（コピペOK）

基本情報

項目	内容
ポリシー名	（例：情報セキュリティポリシー）
バージョン	v1.0
作成日	YYYY-MM-DD
作成者	（名前・役職）
承認者	（名前・役職）
最終更新日	YYYY-MM-DD
次回レビュー予定日	YYYY-MM-DD
ステータス	Draft / In Review / Approved

目的・適用範囲

項目	内容
目的	（例：本ポリシーは、組織の情報資産を不正アクセス・漏洩・破壊から保護し、ビジネスの継続性を確保することを目的とする）
適用対象者	（例：全従業員・契約社員・外部委託先・業務委託先）
適用システム	（例：社内システム・クラウドサービス・業務端末・ネットワーク機器）
適用除外	（例：個人所有端末。ただし業務利用する場合は本ポリシーを適用する）

情報分類

分類レベル	定義	例	取扱いルール
機密（Confidential）	漏洩した場合に重大な損害が生じる情報	顧客個人情報・財務データ・認証情報	暗号化必須・アクセス権限を最小化・外部送信禁止
社内限（Internal）	社内のみで共有する情報	社内規程・プロジェクト計画・会議資料	社外への持ち出し原則禁止・端末ロック必須
公開（Public）	外部公開が許可された情報	プレスリリース・公式サイト掲載情報	特別な制限なし・公開前に承認を取得すること

アクセス管理

項目	ルール
アカウント管理	各システムへのアクセスは業務上必要な最小限の権限のみを付与する（最小権限の原則）
パスワードポリシー	12文字以上・大文字小文字数字記号を含む・90日ごとに変更する
多要素認証（MFA）	社内システム・クラウドサービスへのアクセスにはMFAを必須とする
退職・異動時	退職・異動が確定した当日中にアクセス権限を無効化する
共有アカウント	共有アカウントの使用は禁止する。システムの性質上やむを得ない場合はTLの承認を得る
端末ロック	離席時は必ずロック（自動ロック設定：最大5分）する

インシデント対応

フェーズ	対応内容	報告先	期限
検知	セキュリティインシデントを発見・疑いを持った場合は即時に報告する	直属の上司・セキュリティ担当	即時
初動	影響拡大を防ぐためにシステムを隔離・アクセスを遮断する	セキュリティチーム	1時間以内
調査	原因・影響範囲・漏洩データの有無を調査する	CISO・法務	24時間以内
報告	関係者・規制当局・顧客への通知要否を判断する	経営層・法務	72時間以内
再発防止	原因の根本対策を実施し、ポストモーテムを作成する	セキュリティチーム	2週間以内

コンプライアンス・罰則

項目	内容
遵守義務	全ての適用対象者は本ポリシーを遵守する義務を負う
違反の報告	ポリシー違反を発見した場合は速やかにセキュリティ担当または上司に報告する
違反への対応	違反の内容に応じて、警告・業務停止・契約解除・法的措置を取ることがある
例外申請	業務上やむを得ない場合は、CISO（最高情報セキュリティ責任者）の承認を得ること
ポリシーの改訂	年1回または重大なインシデント・規制変更があった場合に見直しを行う

英語版テンプレート（コピペOK）

Document Info

Field	Value
Policy Name	(e.g., Information Security Policy)
Version	v1.0
Created Date	YYYY-MM-DD
Author	(Name / Role)
Approved By	(Name / Role)
Last Updated	YYYY-MM-DD
Next Review Date	YYYY-MM-DD
Status	Draft / In Review / Approved

Purpose & Scope

Item	Details
Purpose	(e.g., This policy aims to protect the organization’s information assets from unauthorized access, disclosure, and destruction, and to ensure business continuity.)
Applies To	(e.g., All employees, contractors, vendors, and third-party service providers.)
Covered Systems	(e.g., Internal systems, cloud services, business devices, and network equipment.)
Exclusions	(e.g., Personally owned devices, unless used for business purposes, in which case this policy applies.)

Information Classification

Level	Definition	Examples	Handling Rules
Confidential	Information whose disclosure could cause significant harm.	Customer PII, financial data, credentials	Encryption required. Minimize access. No external transfer.
Internal	Information shared only within the organization.	Internal policies, project plans, meeting materials	No external distribution. Device lock required.
Public	Information approved for external release.	Press releases, official website content	No special restrictions. Approval required before publishing.

Access Control

Item	Rule
Account Management	Grant only the minimum necessary permissions for each system (Principle of Least Privilege).
Password Policy	Minimum 12 characters. Include uppercase, lowercase, numbers, and symbols. Change every 90 days.
Multi-Factor Authentication (MFA)	MFA is required for all internal systems and cloud services.
Offboarding / Transfer	Revoke all access on the same day that a resignation or transfer is confirmed.
Shared Accounts	Shared accounts are prohibited. If unavoidable due to system constraints, TL approval is required.
Screen Lock	Always lock your screen when away. Auto-lock must be set to a maximum of 5 minutes.

Incident Response

Phase	Action	Notify	Deadline
Detection	Report immediately upon discovering or suspecting a security incident.	Direct manager, Security team	Immediately
Containment	Isolate systems and revoke access to prevent further damage.	Security team	Within 1 hour
Investigation	Identify root cause, scope of impact, and whether data was exposed.	CISO, Legal	Within 24 hours
Notification	Determine whether to notify stakeholders, regulators, and customers.	Executive team, Legal	Within 72 hours
Remediation	Implement root cause fixes and create a post-mortem report.	Security team	Within 2 weeks

Compliance & Enforcement

Item	Details
Obligation	All covered individuals are required to comply with this policy.
Reporting Violations	Report any discovered policy violations to the security team or your manager promptly.
Consequences	Violations may result in warnings, suspension, contract termination, or legal action depending on severity.
Exception Requests	Exceptions require approval from the CISO (Chief Information Security Officer).
Policy Review	This policy will be reviewed annually or following a major incident or regulatory change.

各セクションの書き方と例文

テンプレートを埋めるときに悩みやすいセクションを解説する。

情報分類の書き方

情報分類は「誰が・どんな情報を・どう扱うか」の基準を定める。3段階（Confidential / Internal / Public）が国際標準的な構成だ。

日本語	英語
機密情報として取り扱う	Handle as Confidential information.
この情報は社外秘です	This information is for internal use only.
情報の分類を確認してください	Please verify the classification of this information.
暗号化が必要です	Encryption is required for this data.
アクセス権限を確認してください	Please confirm your access permissions.

インシデント報告フレーズ

セキュリティインシデントを報告するときのフレーズをまとめた。

日本語	英語
セキュリティインシデントが発生しました	We have detected a security incident.
不正アクセスの疑いがあります	There is a suspected unauthorized access.
データ漏洩の可能性があります	There may be a potential data breach.
影響範囲を調査しています	We are investigating the scope of impact.
システムを隔離しました	We have isolated the affected system.

セキュリティ監査・コンプライアンス対応のフレーズはエンジニアの英語セキュリティ監査・コンプライアンス対応術でも確認してほしい。

セキュリティポリシーでよく使う英語表現

実務でよく使う英語表現を場面別にまとめた。

セキュリティ基本用語

日本語	英語
情報セキュリティポリシー	Information Security Policy
アクセス制御	Access Control
最小権限の原則	Principle of Least Privilege
多要素認証	Multi-Factor Authentication (MFA)
セキュリティインシデント	Security Incident
データ漏洩	Data Breach
脆弱性	Vulnerability
リスクアセスメント	Risk Assessment

ポリシー遵守・審査フレーズ

日本語	英語
ポリシーに準拠しています	This is compliant with our security policy.
例外申請が必要です	An exception request is required.
セキュリティ審査が必要です	This requires a security review.
ポリシー違反です	This is a violation of our security policy.
リスクを受け入れる判断をします	We will accept this risk with documented justification.