中小企業のセキュリティー対策　Vol.9　マーク取得で意識向上

業務効率も改善

SECURITY　ACTIONを宣言する企業が増えている。SECURITY　ACTIONとは、中小企業が自ら情報セキュリティー対策に取り組むことを宣言する制度で、独立行政法人情報処理推進機構(IPA)が今年4月より実施している。いくつか取り組み事例を紹介させていただきたい。

事例1

「ウイルス感染などで取引先に迷惑を掛けたら経営上の問題になると懸念していたところ、SECURITYACTIONを知り、一つ星であれば自分たちでも十分取り組める内容だと思って、すぐに宣言しました。まずは一つ星の取り組み目標である『情報セキュリティ5か条』に取り組み、最近では取引先に倣って重要なデータにはパスワードを設定するようにしました。宣言したことで従業員のセキュリティー意識が向上したと感じています」(神奈川県・製造業)

同社は名刺やホームページにロゴマークを掲載することで取り組み姿勢をアピールしている。社内の意識向上のほか、社外の信頼獲得が期待できる。

事例2

「士業として守秘義務や預かり情報の取り扱いには十分気を付けていましたが、二つ星の取り組み目標である『5分でできる!情報セキュリティ自社診断』を実施したところ、人によって情報の取り扱い方法にばらつきがあることが分かり、自社診断の項目をベースに社内ルールを文章化しました。また、情報の保管場所などのルールを定めたことで業務効率が改善したと感じています」(東京都・士業)

IPAの調査によるとセキュリティーのルールを文章化している中小企業は約14%。ルールを文章化することで、従業員が同じ判断基準を持つことができ、全体のセキュリティーレベルを高めることが期待できる。また、有事の際の説明責任を果たす際にも有用であるだろう。

事例3

「当社はプライバシーマークを取得しているが、個人情報以外にも守るべき情報はあると考えていたため、二つ星に取り組みました。取り組むに当たっては『中小企業の情報セキュリティ対策ガイドライン』付録の情報資産管理台帳のひな形やポリシーサンプルを参考にし、普及賛同企業の支援を受けることで比較的容易に構築することができました。この制度は取引先にも奨めたいと考えています」(東京都・情報サービス業)

多くの事業は自社で完結することはなく、顧客や取引先とのさまざまな関係の上に成り立っている。事業継続を考える上では、取引先などに対しても情報セキュリティーを求めていく必要があるだろう。SECURITY ACTIONはその指標の一つとしても活用することができる。

目標に応じて取り組みを選択

SECURITY　ACTIONは、「中小企業の情報セキュリティ対策ガイドライン」の実践をベースに2段階の取り組み目標を用意している。

1段階目は、OS・ソフトウエアの更新やウイルス対策ソフトの導入、パスワードの強化など、あまりお金をかけなくても実施できる効果的な五つの対策に取り組む。これまで組織として対策に取り組んでこなかった小規模企業でも容易に取り組める内容であるため、まずはここから取り組んでほしい。

そして、2段階目は、「5分でできる!情報セキュリティ自社診断」で自社の対策状況を把握し、情報セキュリティポリシー(基本方針)を定めて公開する。

取り組み目標に応じたロゴマークを使用することができ、ウェブサイトや名刺などに表示することで、情報セキュリティーに自ら取り組んでいることをアピールすることが可能だ。利用手数料は無料。具体的な手続きはIPAのホームページ（https://www.ipa.go.jp/security/security-action/）を確認してほしい。

(独立行政法人情報処理推進機構・江島将和)