はじめに
こんばんは、おくさんです!
ISMSの担当者は足りていますか?(挨拶)
情報セキュリティマネジメントシステム(ISMS)の運用は、様々な要因から、多くの組織で属人性が高くなりがちです。弊社でもそれは例外ではありませんでした。
しかし今年、Notionの「リンクメンション」という非常に便利な機能を活用することで、ISMS運用の属人性を減らすことができましたので、その経験について共有します。
- 本ブログは2025年4月18日時点の情報を元に作成しています。
- 本ブログは筆者の個人的意見や見解に基づくものです。
3行サマリー
- Notionのリンクメンション機能は、リンク先に合わせてリンクテキストが自動更新される。
- ISO/IEC 27001:2022への対応に伴って、各ISMS文書をリンクテキストで紐付けた。
- 新規メンバーにも要求事項の確認や文書間の関連性確認がしやすくなった。
背景と課題
ISMS運用の属人性が高くなる要因は様々ありますが、関係性の把握が難しいことが一因として挙げられます。
- ISMS関連ドキュメント(規程や手順書など)は複数あり、それぞれが関連している
- ISO/IEC 27001の要求に対する自社の対応方針が、ドキュメントに反映されている
- ドキュメントは運用に伴って更新され、関係性が変化していく
このように要素が多く流動的な性質から、現状としての関係性の把握が難しいため、ISMS運用が特定の「ISMSに詳しい人」に依存しがちになります。
たとえば、ISMS関連ドキュメントはWordで管理されることが多くありますが、Wordで以下の内容を記載したとします。
「この内容は書類Aの4章の内容を参照する」
内容を確認したい閲覧者は、クラウドストレージ上から書類Aを検索し、書類Aが見つかればそこから4章へ移動することで、ようやく確認できます。たどり着いたとしても、書類Aの4章に「この作業は書類Bの2章の基準に従う」と書いてあったなら、また旅が始まります。
これを何度も繰り返してようやく内容を把握できるドキュメント群は、非常に学習コストが高いと言えます。
この関係性について、ISMS適用宣言書などの形で記載し共有することは可能です。ドキュメントの媒体によってはリンクを貼ることができるかもしれません。
しかし、年々更新されていくドキュメントにあわせて、その関係性についての記録を更新し続けることは非常に難しいです。参照先のドキュメント名や章番号が変わるたびにリンクを更新する作業は、できればやりたくない作業だと思います。
Notionとリンクメンション
そこでNotionです。
Notionは、ドキュメントまわりのことがだいたい全部できるツールです。
ドキュメントから、グラフ作成、情報共有、タスク管理や、データベース、AIまで同じSaaS上で作成・管理・検索ができます。
そんなNotionには、ISMS運用の属人性を減らすのに役立つ重要な特徴があります。
それがリンクメンションです。
リンクメンションとは、Notion上にNotionページのURLを貼った際、自動的にURL先のページタイトルと章タイトルを取得してリンクテキストを作成してくれます。
しかも素晴らしいことに、Notionのページタイトルが更新されると、自動的にリンクテキストも最新情報へ更新してくれます!
この機能に、ページ内の各行(ブロック)単位でURLが発行できるというNotionの特徴が加わることで、「自動的にタイトル・章番号が更新されるリンク」を作成できます。
属人性の解決アプローチ
このリンクメンションは、規程文書内で他の規程文書を案内する内容として使うと便利です。
一般的なリンクの場合、規程文書のタイトルが変更された際などに変更が反映されず、作業者が定期的に規程文書を修正する必要がありました。特に文書の章や項番を指定している場合、章のナンバリングがズレることは頻繁に発生するため、次第に管理が面倒になります。
しかしリンクメンションを使えば、タイトルが変更された時点で反映されるため、追加作業は不要です。章や項番についても、タイトルに含めるように記載していれば、自動反映されます。
なんなら同ページ上のブロックもリンクメンションが可能で、この場合はページタイトルなしで、ブロックの1行目の内容がリンクテキストとして表示されます。ケース毎の作業手順の案内などに非常に便利です。
もうなかった頃には戻れません!
例:適用宣言書の管理策と規程文書の紐付け
更に今回はリンクメンションの特性を活かし、これまでExcelで管理していた適用宣言書をNotionへ移行し、組織的管理策と規程文書の紐付けを行いました。これにより、監査などに自社の管理策の状況を説明しやすくなるとともに、規程文書を閲覧したユーザからも背景が確認できるようになりました。
(Excelの適用宣言書は古いため、ISO/IEC 27001:2013の内容となっています。)
作業としては、まず適応宣言書のExcelのセルをコピーし、Notionへ貼り付けます。Notionへ貼り付けられた内容はテーブルとして作成されますので、この時点で不要な行などは削除します。
テーブルが作成されたら、テーブルをデータベースへ変換します。これは、1行ごとにURLを指定したいためです。
次は適用宣言書の管理策について、自社としての取り組み(規程文書)を紐付けていきます。
管理策に対して、具体的な取り組みを定める規程を開き、ブロックへのリンクをコピーします。コピーしたリンクは、適用宣言書へリンクメンションとして貼り付けます。
ISO/IEC 27001:2022では組織的管理策が100項目近くあり大変ですが、全部へ紐付けておきます。監査はISMSの管理策や要求事項をもとに実施されるケースが多いため、紐付けを実施しておくことで、監査時に現状説明がスムーズになります。
また、適用宣言書の管理策毎にブロックへのリンクをコピーし、規程の関連する章へリンクメンションとして貼り付けます。
こうすることで、ISMSに関する組織的管理策の内容を暗記していなくとも、規程がどういった要求から定められたのかを誰でも確認できる状態になります。
まとめ
リンクメンション機能を活用したISMS運用の改善アプローチにより、以下のような成果が得られました。
- 適用宣言書について、監査時の説明資料としての利便性が大幅に上がった。
- 誰でも簡単に、ドキュメントと管理策との対応を確認できるようになった。
- タイトルや章番号が更新されても、自動でドキュメントへ反映されるようになった。
今回のアプローチは、Notionでなくとも、運用担当者の努力により実現可能な内容ではあります。しかし、数十あるドキュメント同士の関係性について、都度手作業でリンクを更新していくことは現実的ではありません。
規程文書のタイトルや章番号が変更されても自動的に反映されるリンクメンションであれば、最初の紐付けこそ手間ではありますが、以降のメンテナンスの手間を大幅に削減できます。また、リンクメンション機能はISMSに限らず、複数の文書を連携させながら運用する業務であれば、同様のアプローチで属人性を減らすことが可能です。
皆様の組織でも、NotionのリンクメンションをISMS運用の改善にぜひお役立てください。
