独立行政法人情報処理推進機構(IPA)は、中小企業における情報セキュリティー対策の考え方や実践方法を具体的に示した「中小企業の情報セキュリティ対策ガイドライン第3版」を策定し、IPAのホームページ(https://www.ipa.go.jp/security/keihatsu/sme/guideline/)で公表した。 第3版は第2版から2年4カ月ぶりの大幅改訂で、「サイバーセキュリティ経営ガイドライン」の改訂や、中小企業を取り巻くIT環境などの変化を受けたものである。

情報セキュリティー対策において最も重要な意思決定者である経営者が情報セキュリティーの重要性を自ら認識し、何に取り組むべきかをまとめた「経営者編」と、専門的知識がない実務担当者にも実践できるよう具体的に手順を記した「実践編」の2部構成を維持しつつ、経営者編では、ITに詳しくない中小企業の経営者にとってより理解しやすい表現へと改善を図った。また、実践編では、対策に取り組めていない中小企業が組織的な対策を段階的に進めていけるように構成を見直した。

さらに、中小企業においても活用が進むクラウドサービスについて、安全に利用するための留意事項やチェック項目をまとめた手引き「中小企業のためのクラウドサービス安全利用の手引き」を付録として追加した。

情報セキュリティー対策は何から始めればよいか、どこまでやればよいか、そのような中小企業の疑問に応えたガイドラインであり、企業の規模や業種にかかわらず参考となるので活用してほしい。

経営者が認識すべき3原則

経営者編では、経営者は次に挙げる3原則を認識し、対策を進める必要があるとしている。

原則① 情報セキュリティー対策は経営者のリーダーシップで進める

情報セキュリティー対策を進めていく上では経営者のリーダーシップが不可欠。現場任せにせず経営者が判断して意思決定し、自社の事業に見合った情報セキュリティー対策の実施を主導する。

原則② 委託先の情報セキュリティー対策まで考慮する

企業経営において外部リソースの活用は不可欠だが、委託先にて情報漏えいなどが発生しても、委託元としての管理責任を問われる。そのため、委託先や再委託先の情報セキュリティー対策まで考慮する必要がある。また、受託の場合は、依託元の情報セキュリティー要件に対応していく必要がある。

原則③ 関係者とは常に情報セキュリティーに関するコミュニケーションを取る

顧客や取引先など業務上の関係者からの信頼を高めるには、普段から自社の情報セキュリティー対策や、事故が起きたときの対応について、関係者に明確に説明できるように経営者自身が理解し、整理しておくことが重要である。

情報セキュリティーに関する関係者とのコミュニケーションに当たっては、セキュリティ対策自己宣言制度「SECURITY　ACTION」を活用してほしい。利用手数料は無料。具体的な手続きはIPAのホームページ(https://www.ipa.go.jp/security/security-action/)を確認してほしい。

具体的な情報セキュリティー対策のルールや仕組みの構築は、ガイドラインを参考に社内の担当者や外部の専門家が担う企業も多いであろうが、経営者は3原則を認識し、情報セキュリティー対策を主導してほしい。 (独立行政法人情報処理推進機構・江島将和)