Q 私は、従業員30人ほどの会社の経営者です。サイバー攻撃に関するニュースを目にする機会が増え、当社も備えが必要と考えますが、情報セキュリティ対策は何から手を付けたらよいでしょうか。
A 経営者には、IT事故による損害・損失を防ぐための措置を取ることが求められます。情報セキュリティ対策は、リスクの分析評価や社内の運用体制の整備を伴う上、予算や人材を確保して行わなければなりません。そのため、対策を奏功させるためには、経営者のリーダーシップとトップダウンによる意思決定が鍵になります。「中小企業の情報セキュリティ対策ガイドライン」を参考に、自社のセキュリティの状況を点検し、対策を講じましょう。
情報セキュリティに関する脅威
情報セキュリティ対策の検討に当たっては、まず、その脅威としてどのようなものがあるかを把握することが重要です。最新の動向の把握には、独立行政法人情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」が参考になります。2024年版で「組織」向け脅威の1位は、前年に続き「ランサムウェアによる被害」でした。ランサムウェアとは、PCやサーバーのデータを暗号化し、業務の継続を困難にした上で、データを復旧することと引き換えに、金銭を要求するなどの脅迫文を画面に表示するウイルスです。
経営者の法的責任
例えば、ランサムウェアによって社内システムが稼働しなくなり生産活動が停止または停滞した場合、取引先に対して債務不履行(民法415条)を生じさせることがあります。また、顧客の個人情報や個人のプライバシーに関わる情報が流出した場合、原因調査や顧客対応に多額のコストがかかります。加えて顧客層の企業に対する信頼の低下も重大な問題です。電子商取引(EC)が普及している昨今では、情報流出を生じさせた事実は競争力を減殺する要素となり、売り上げの低下につながりかねません。
取締役は、善良な管理者の注意をもってその職務を行うべき義務を会社に対して負っています(会社法330条、民法644条)。これは、その地位にある者として通常求められる注意を尽くすことを意味します。取締役あるいは経営者には、企業価値の最大化および、その半面として損失を生じさせる事態を回避するための方策を取ることが求められるので、情報セキュリティに関する損失などを防ぐ措置を取る必要があるといえます。
中小企業における対策の進め方
情報セキュリティ対策を進める中小企業にとっては、IPAの「中小企業の情報セキュリティ対策ガイドライン」が役立ちます。対策の始め方から、自社の情報セキュリティの状況把握、本格的な取り組み方、情報セキュリティをより強固にするための方策まで、一連の進め方が紹介されています。ガイドラインでは、経営者が認識すべきこととして「情報セキュリティ対策は経営者のリーダーシップで進める」「委託先の情報セキュリティ対策まで考慮する」「関係者とは常に情報セキュリティに関するコミュニケーションをとる」という三つの原則が示されています。
これから対策を始める中小企業の場合、ガイドラインが示す次の「情報セキュリティ5か条」から始めるのが良いでしょう。
①OSやソフトウェアは常に最新の状態にしよう!
②ウイルス対策ソフトを導入しよう!
③パスワードを強化しよう!
④共有設定を見直そう!
⑤脅威や攻撃の手口を知ろう!
中小企業自らがガイドラインに沿って対策に取り組むことを自己宣言する制度として、「SECURITY ACTION」宣言があります。この宣言の実施はIT導入補助金の申請要件となっています。また、ほかの補助金や助成金にもこれを要件とするものがあります。これらも活用しながら、セキュリティ対策を進めましょう。
(弁護士・北沢 智)
