安全確保へ専門家を派遣

経済産業省と独立行政法人情報処理推進機構(IPA)は2019年度から20年度にかけて、全国の中小企業を対象に、地域で活躍している情報処理安全確保支援士などのセキュリティーの専門家を1社当たり4回派遣し、リスクの洗い出し、セキュリティー基本方針の策定、関連規定や手順書の策定までを指導する「情報セキュリティマネジメント指導業務」を実施した。

同事業を通じて、中小企業においてセキュリティー対策に係る人的・資金的なリソース不足という課題が明らかになるとともに、指導要領(指導ツール)の有効性などを確認することができた。また、指導先企業へヒアリング調査を行い、他の中小企業の参考になる取り組みをまとめた「セキュリティマネジメント指導事例集」を作成した。

事例集では、指導を受けた中小企業の情報セキュリティー上で感じていた課題や、解決のために取り組んだ内容、工夫した点、使用したツールなどが掲載されている。ここでは事例集に掲載された二つの事例を紹介する。

事例①新潟県・小売業

コーヒーの加工販売やカフェの営業のほか、コーヒー器具やギフトなどをオンラインストアで販売している。デジタル化された顧客データが蓄積されていく中で、セキュリティー対策強化の必要性を感じており指導を受けた。

「5分でできる!情報セキュリティ自社診断」で対策状況を診断した結果、パスワードに関する認識が不足していることが分かり、IPAのウェブサイト「チョコっとプラスパスワード」を利用して、パスワード設定を安全に運用するよう周知を行った。また、パソコンやタブレット、無線LANなどのIT機器やBYOD(私物機器の業務利用)について、利用ルールが未整備だったので、整備を進めた。

今回の指導を受けて、IT・セキュリティー担当者を配置し、対策実行を担ってもらうこととした。また、経営者自ら四半期に1回はレビューを行い、従業員への着実な啓発活動などを実施していきたいと考えている。

事例②広島県・製造業

金属材料の熱処理や、機械部品の製作および切削加工・研磨加工を行っている。取引先の大手自動車メーカーから定期的にセキュリティー対策状況の問い合わせを受けていたため、対策強化の必要性を感じ、指導を受けた。

現場目線で取り組めるセキュリティー対策を検討し、IPAが提供するひな形をベースとした「情報セキュリティハンドブック」を作成した。例えば、裏紙の利用に関する廃棄ルールとして「個人名や金額の記載があるものは溶解処理に分別する」など具体的な例を挙げるようにした。また、策定した改善項目は、緊急度、重要度、難易度の観点で重み付けを行い、実行計画の優先順位を決めた。

今回の指導を受けて、懸念事項であった、各工場で働く従業員への情報セキュリティー教育を強化することができた。

規模や業種で異なる課題　

事例集では前述の2事例の詳細のほか、福祉サービス業やITサービス業、士業、商工会議所などの取り組み事例が掲載されている。企業規模や業種・業態により課題は異なるが、自社の取り組みの参考になる点は多い。IPAのウェブサイトにて公開されているので、指導要領(指導ツール)と併せて活用してほしい。