ISMS Security Academy
特集記事 ISMS基礎

業務を「見える化」する
フローチャート作成のイロハ

複雑な業務を整理し、リスクを特定するための最強のツール。
JIS規格(JIS X 0121)に基づいた標準ルールをマスターしましょう。

1

これだけは覚えよう!基本の7記号

開始 / 終了

端子 (Terminator)

フロー全体の「開始」と「終了」を表します。

処理

処理 (Process)

具体的な「作業」や「計算」を表します。1つの箱に1作業が基本です。

入出力

入出力 (Data)

データの入力、出力、読み込みを表します。

条件?

判断 (Decision)

Yes/Noで分岐する分かれ道です。必ず複数の矢印が出ます。

書類

書類 (Document)

人間が読む「紙の資料」や帳票を表します。印刷や発行の工程に使います。

DB

データベース

情報の保管場所や、マスターデータの参照を表します。

線 (Flowline)

処理の「順序」を示します。原則として上から下へ引きます。

便利なその他の記号(クリックで展開)
表示 (Display)

PC画面への情報表示を表します。

手操作入力

キーボード入力など人間が行う操作です。

定義済み処理

別の場所で定義された手順の呼び出し。

結合子

同一ページ内の離れた場所へ繋ぎます。

ループ端

繰り返しの開始と終了をセットで表します。

2

すべての基本となる「3つの構造」

どれほど複雑なプログラムや業務も、実はこの3つのパターンの組み合わせだけでできています。

1. 順次構造

メール受信
内容転記

上から下へ、順番に実行する最も基本的な形です。

2. 分岐構造

Yes No

条件(Yes/No)によって、進む道が分かれる形です。

3. 反復構造

ループ開始
1件処理
ループ終了

決まった条件を満たすまで処理を繰り返す形です。

【脱・初心者】ループ記号の正しい使い方

「同じ作業を繰り返す」場合、矢印を上に戻す書き方(判断記号利用)もありますが、 ループ端(Loop Limit)記号を使うと、どこからどこまでが繰り返しなのか一目で分かり、推奨されています。

書き方のルール

1

サンドイッチにする

「ループ開始」と「ループ終了」の記号で、繰り返したい処理を挟みます。

2

同じ名前をつける

開始と終了の記号に同じ「ループ名」を書きます。(例:データ全件処理)

3

条件を書く

「いつまで繰り返すか」を開始記号の中に書きます。

ループ:全データの読み込み終了まで データを読み込む データを更新 完了通知を送信 全データの読み込み終了まで
3

作成の5ステップ

01

目的と範囲を決める

「誰が読む図か」「どの作業の開始から終了までを書くか」を定義します。

02

タスクを箇条書きで洗い出す

いきなり図を描き始めず、まずは必要な手順をテキストでリストアップします。

03

時系列に並べ替える

リストを順序通りに整理し、分岐ポイントや担当者を割り振ります。

04

記号を使って図にする

基本記号を割り当て、スイムレーンを活用して清書します。

05

現場での実態をレビューする

現場担当者に確認してもらい、実態との乖離がないかを確認して完成です。

4

基本:スイムレーンで「誰が」を明確に

複数の部署や担当者が関わる業務フローを書く場合、「スイムレーン(プール)」を使って担当ごとにエリアを区切ると、役割分担が一目でわかります。

  • 縦または横に線を引き、担当者名(例:営業部、経理部)を書きます。
  • 記号をその担当者のレーン内に配置します。
  • レーンをまたぐ矢印は「責任(ボール)の受け渡し」を意味します。
営業
経理
Responsibility
営業担当 経理担当 システム 申請書作成 経費精算システム 承認処理

※実線:ビジネス責任のフロー / 点線:システム連携

5

【重要】フローチャートとリスクの紐付け

ISMSの核心は「リスクの特定」です。図を描いた後、各作業ステップで「何が失敗する可能性があるか」を漏れなく抽出してください。

実際のフォーマット記入例
担当者(自部門) システム / 他部門 作業内容(詳細) 潜むリスク
メール受信
 Outlook 顧客からの案件依頼メールを確認する。 受信の見落としによる対応漏れ、返信遅延
メール表示
 Outlook メーラー上で内容を画面表示し、内容を把握。 覗き見による機密情報の漏洩
返信作成
 共有フォルダ 回答文面を作成し、添付資料を準備。 回答内容の誤り、別案件資料の添付ミス
返信送信
 Outlook 送信前にダブルチェックを行い、送信。 宛先誤りによる誤送信
送信完了
 管理台帳 完了を確認し、履歴を保存。 管理台帳への記録漏れ
Point: 図を描くだけでなく、その作業に「どんな失敗(リスク)の可能性があるか」を各記号の右側に書き出してください。 ここが空白だと、リスクアセスメント(評価)へ繋げることができず、ルール違反となります。

きれいに描くコツ (Good)

  • 流れは基本「上から下」へ描く
  • 記号のサイズを統一して揃える
  • 記述は「〜する」と短い動詞で書く
  • 分岐後の矢印に「はい/いいえ」を添える

避けるべきこと (Bad)

  • 矢印の線を複雑に交差させる
  • 1つの記号に複数の処理を詰め込む
  • 作業の流れと逆向き(下から上)に矢印を描く
  • 「〜してから〜して〜する」と長い文章を書く

理解度チェック:フラッシュカード

カードをクリックして裏面の回答を確認しましょう

Q1

業務フロー作成時に準拠すべきJIS規格は何ですか?

JIS X 0121

情報処理用の流れ図規格です。社内共通言語として利用します。

Q2

「紙の資料」や「帳票」を指す際に使う記号は何ですか?

書類 (Document) 記号

長方形の底面が波打っている形の記号です。

Q3

ループ端記号を使う際に必ず記載すべき2つの項目は?

ループ名 と 繰り返し条件

開始と終了に同じ名前を付け、開始側に条件を書きます。

Q4

スイムレーンをまたぐ矢印は何の受け渡しを意味しますか?

責任(ボール)の受け渡し

ここで情報が分断されやすく、ミスが発生しやすいため重要です。

Q5

1つの処理記号の中に複数の作業を詰め込んでも良いですか?

いいえ(1記号1作業が原則)

大雑把に描くとリスクを見落とし、不適合の原因となります。

Q6

フロー図を作成した後、最終的に何と連携させる必要がありますか?

リスク評価シート

洗い出したリスクを評価し、具体的な対策を決定します。

重要:なぜ「正しく」描く必要があるのか?

「適当に作るとISMS審査で不適合になる」という事実を知っていますか?
実際に、当社のISMS審査において「業務フローが適切に作られていない」ことが多数検出され、正式に「不適合」と認定された事例があります。

実際の指摘事項

Bad 1つの箱に複数の処理を詰め込む
(例:「受注処理」という大雑把な箱1つで済ませてしまう)

何が起きたか?

大雑把なフロー図では「メール誤送信」や「確認漏れ」といった具体的なリスクが見えなくなりました。その結果、リスク対策が行われず、実際にセキュリティ事故が発生してしまいました。

私たちが守るべきこと

  • 作業単位で細かく描く:「いつ」「誰が」「何を」するのか、手順を省略せずに描きましょう。
  • 実態と合わせる:「これくらいなら変更しなくていいや」という判断が一番危険です。業務が変われば、必ず業務フローも更新しましょう。

正しい業務フロー作成は、単なる作図作業ではなく、
「お客様の信頼を守るための契約履行」 です。