中小企業の情報セキュリティ対策ガイドライン第4.0版の第1部「経営者編」では、企業が被る不利益と経営者の責任を整理したあとに、「経営者は何をやらなければならないのか」が続きます。IPAはここで、経営者は「3原則」を認識したうえで、「重要7項目の取組」の実施を指示する必要があると示しています。つまり、情報セキュリティ対策は、担当者だけの作業ではなく、社長が方向を決める経営課題として扱うべきだということです。
IPAはあわせて、「情報セキュリティガバナンス」を、経営者が企業戦略として情報セキュリティ向上に取り組むための枠組みとして紹介しています。経営者が避けるべき重大事故を示して方向付けを行い、進捗をモニタリングし、その効果を評価して見直す、という考え方です。第3回では、この「3原則」と「重要7項目」を、社長や兼務担当者が実務でどう読み替えるかを整理します。
この記事でわかること
- 3原則が社長に求めている考え方
- 重要7項目で社長が指示すべき内容
- 小規模企業がどこから実務に落とし込めばよいか
なぜ「3原則」と「重要7項目」を先に押さえるべきなのか
IPAは、情報セキュリティ対策について、経営者が明確な方針を示し、自ら実行し、担当者を任命して指示する必要があると説明しています。さらに、情報セキュリティ対策は、経営者が主導し、必要な範囲を網羅し、関係者と連携して組織的に実施しなければ機能しないとも述べています。つまり、技術的な設定より先に、社長が「誰が」「何のために」「どの範囲まで」やるのかを決めることが出発点になります。
認識すべき3原則
1. 情報セキュリティ対策は経営者のリーダーシップで進める
IPAは、現場の従業員は安心して業務に従事できる環境を求める一方で、利便性が下がったり面倒な作業が増えたりする対策には抵抗感を示しがちだと説明しています。だからこそ、情報セキュリティ対策は経営者が判断し、意思決定し、自社の事業に見合った対策を主導する必要があります。社長が本気で進めると決めなければ、対策はどうしても後回しになりやすい、ということです。
2. 委託先の情報セキュリティ対策まで考慮する
業務の一部を外部に委託し、重要な情報を委託先へ提供する場合、IPAは、その委託先がどのような情報セキュリティ対策を行っているかを考慮する必要があるとしています。委託先の不備で情報漏えいや改ざんが起きたとしても、事故の影響を受けた相手からは、委託元としての管理責任を問われ得るからです。社長にとっては、「うちは外に任せているから大丈夫」ではなく、「外に任せていても自社の責任は残る」と理解することが重要です。
3. 関係者とは常に情報セキュリティに関するコミュニケーションをとる
IPAは、顧客、取引先、委託先、利用者、株主などの関係者からの信頼を高めるには、自社の情報セキュリティ対策や事故時の対応について、経営者自身が理解し、明確に説明できるように整理しておくことが重要だとしています。平時から取組方針を伝えておくことで、万一ウイルス感染や情報漏えいが起きた際にも説明責任を果たしやすくなり、必要以上の不安を与えずに信頼関係を維持しやすくなります。ここでいうコミュニケーションは、事故後の謝罪だけではなく、平時の説明まで含むと読むべきです。後半は本稿での整理です。
実行すべき「重要7項目の取組」
IPAは、以下の重要7項目について、経営者が責任者・担当者に対して指示し、場合によっては経営者自らが実行することも必要になると説明しています。小規模企業ほど、社長自身がこの「指示する人」と「実行する人」を兼ねる場面が出てきます。
1. 情報セキュリティに関する組織全体の対応方針を定める
IPAは、どのような情報をどのように守るかについて、自社に適した情報セキュリティ基本方針を定め、宣言することを求めています。特に、自社の経営で最も懸念される事態は何かを明確にすることで、具体的な対策を促し、組織としての方針を立てやすくなるとしています。社長が最初に決めるべきなのは、「何でも守る」ではなく、「何を特に守るのか」です。
2. 情報セキュリティ対策のための予算や人材などを確保する
IPAは、対策に必要な予算と担当者を確保すること、その対象には事故の防止だけでなく、被害拡大の防止や復旧対応も含まれることを示しています。さらに、高度な技術が必要な場合には、専門的な外部サービスの利用も検討するとしています。つまり、「担当者に任せた」で終わりではなく、社長が予算と体制を確保しなければ、対策は回りません。
3. 必要と考えられる対策を検討させて実行を指示する
IPAは、懸念される事態に関連する情報や業務を整理し、損害を受ける可能性、つまりリスクを把握したうえで、責任者・担当者に対策を検討させるよう求めています。必要な対策には予算を与えて実行を指示し、社内ルールとして文書にまとめることも勧めています。また、実行状況については、月次や四半期ごとなど適切な機会に報告させ、進捗や効果を把握するとしています。零細企業でも、ここは「担当者を置くかどうか」より、「報告の場を作るかどうか」で差が出ます。
4. 情報セキュリティ対策に関する適宜の見直しを指示する
IPAは、実施した対策について点検を行い、最初に定めた方針に沿って進んでいるかを評価することを求めています。さらに、業務や顧客の期待の変化も踏まえて、基本方針や対策の追加・改善を適宜行うよう指示するとしています。対策は一度決めて終わりではなく、事業の変化に合わせて見直す前提で運用する必要があります。
5. 緊急時の対応や復旧のための体制を整備する
IPAは、万一に備えて、被害原因を速やかに追究して被害拡大を防ぐ体制と、的確な復旧手順をあらかじめ作成しておくことを求めています。整備後は、予定どおり機能するか確認するために、被害発生を想定した模擬訓練を行うことが効果的だともしています。事故が起きてから慌てて考えるのではなく、連絡体制と復旧手順を先に決めておくことが、社長の仕事に含まれています。
6. 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
IPAは、業務の一部を外部委託する場合、委託先でも少なくとも自社と同等の対策が行われるようにし、そのために契約書へ責任や実施すべき対策を明記し、合意する必要があるとしています。また、クラウドや外部サービスの利用がコスト面で有利な場合があっても、安易に使うのではなく、利用規約や付随する情報セキュリティ対策などを十分に検討するよう担当者に指示する必要があるとしています。クラウド選定も、経営判断の一部だと考えるべきです。
7. 情報セキュリティに関する最新動向を収集する
IPAは、情報技術の進化が速く、検討すべき対策が目まぐるしく変化するため、自社だけで最新動向を把握するのは困難だとしています。そのため、公的機関などが発信する情報を把握して常時参照し、知り合いやコミュニティでの情報交換も積極的に行い、得られた情報を業界団体や委託先などと共有するよう示しています。社長がすべてを自分で追う必要はありませんが、誰が情報を集め、どこから入手し、どう社内共有するかは決めておく必要があります。
小規模企業ではどう読み替えるべきか
ここから先は、本稿での実務向けの整理です。小規模企業や兼務担当者の会社では、7項目をそのまま暗記するより、まず「方針を決める」「担当者と予算を決める」「月次または四半期で報告を受ける」「委託先やクラウドの責任を契約や利用条件で確認する」「緊急時の連絡と復旧手順を決める」の5つに言い換えると、行動に移しやすくなります。
社長が今日決めるべき3つ
まず決めたいのは、自社で最も避けたい事態です。顧客情報の漏えいなのか、受発注停止なのか、社内データ消失なのかが明確になると、基本方針と優先順位が決めやすくなります。
次に、誰が担当し、どの頻度で社長へ報告するかを決めます。IPAは、実施状況を月次や四半期ごとなどの適切な機会に報告させ、進捗や効果を把握するとしています。兼務でも構いませんが、報告の場がない状態は避けるべきです。
最後に、外部委託先とクラウドサービスの確認対象を決めます。契約書や利用規約、提供されるセキュリティ対策、責任分界が曖昧なまま使っているものがあれば、そこは優先して見直すべき箇所です。
まとめ
第3回のポイントは明確です。3原則は「社長がどう考えるべきか」を示し、重要7項目は「社長が何を指示し、何を実行すべきか」を示しています。これを押さえると、情報セキュリティ対策は単なるIT担当の設定作業ではなく、方針、体制、委託先管理、緊急時対応まで含む経営実務だと見えてきます。
次回は、第2部実践編の入口である「情報セキュリティ6か条」を取り上げます。零細企業でもまず着手できる最低限の対策を、社長と担当者の役割分担も含めて整理します。
