【中小企業の情報セキュリティ対策ガイドライン(第3.1版)を公表】
独立行政法人情報処理推進機構(IPA)から、「中小企業の情報セキュリティ対策ガイドライン(第3.1版)」が公表されました。このガイドラインは、情報セキュリティ対策に取り組む際の、①経営者が認識し実施すべき指針、②社内において対策を実践する際の手順や手法をまとめたものです。経営者編と実践編から構成されており、個人事業主、小規模事業者を含む中小企業の利用を想定したものとなっています。
今回公表された第3.1版では、第3版(2019年3月)を公表して以降、テレワークの普及や、DX推進の両輪としての情報セキュリティ対策といった社会動向の変化などを踏まえ、具体的な対応策を盛り込むための改訂を行ったということです。
IPAでは、「ITの利活用が進む一方で、サイバー攻撃手法の巧妙化、悪質化などにより事業に悪影響を及ぼすリスクはますます高まっている。サプライチェーンを構成する中小企業においては発注元企業への標的型攻撃の足掛かりとされる懸念も指摘されており、早急な対策実施が必須」と指摘しています。
はじめに
1:経営者の皆様へ
本ガイドラインは、中小企業の皆様に情報を安全に管理することの重要性についてご認識いただき、中小企業にとって重要な情報※を漏えい、改ざん、消失などの脅威から保護するための情報セキュリティ対策の考え方や、段階的に実現するための方策を紹介することを目的としたものです。
情報セキュリティ対策は、経営に大きな影響を与えます!
情報セキュリティ対策に取り組むことで、対外的に企業の信頼性が高まり、業績向上に繋がります。その一方で、情報セキュリティ対策を疎かにしたためにシステム障害が発生して事業活動が停止することがあります。また、情報漏えいの場合は、顧客や取引先の信頼を失い、業績が悪化することもあります。さらに、顧客や取引先に被害が及んだ場合には、経営を揺るがしかねない高額な賠償金を請求されることもあります。
対策の不備により経営者が法的・道義的責任を問われます!
現代社会では金銭や物品だけでなく、情報にも価値や権利が認められます。例えば個人情報保護法では、事業者に対して個人の権利利益の保護、安全管理措置などの管理監督が義務付けられており、これらへの違反が認められると場合によっては会社に罰金刑が課されます。さらに、取締役や監査役は、別途、会社法上の忠実義務違反の責任を問われることもあります。
組織として対策するために、担当者への指示が必要です!
企業の継続的な発展のために、また、経営責任を果たすためには、担当者に任せきりにすることなく、経営者が自社の情報セキュリティについて明確な方針を示すとともに自ら実行していくことが必要です。情報セキュリティ対策は、経営者が主導し、必要な範囲を網羅し、関係者と連携して組織的に実施しなければ機能しません。経営者はこれらを認識したうえで、情報セキュリティ対策の取り組みを担当者に指示する必要があります。
※重要な情報:営業秘密など事業に必要で組織にとって価値のある情報や、顧客や従業員の個人情報など管理責任を伴う情報のことです。経済的価値を指す“資産”を加え“情報資産”と呼ばれることがあり、本ガイドラインでも“重要情報”に加え“情報資産”と表記します。
2:本ガイドラインの対象
本ガイドラインは、業種を問わず中小企業および小規模事業者(法人、個人事業主、各種団体も含む)を対象として、その経営者と情報管理を統括する方を想定読者としています。
3:本ガイドラインの全体構成
本ガイドラインは、本編2部と付録により構成されます(表1)。付録には、情報セキュリティ対策の実施に活用できるドキュメント類のサンプルが含まれています。
【表1】本ガイドラインの全体構成
第3.1版の主な変更点について
■第1部
●関連法令を最新の内容に見直しました。
■第2部
●「テレワークの情報セキュリティ」、「セキュリティインシデント対応」に関する解説を追加しました。
■付録
●付録1「情報セキュリティ5か条」、付録3「5分でできる!情報セキュリティ自社診断」の対策例を見直しました。
●付録4「情報セキュリティハンドブック(ひな形)」、付録5「情報セキュリティ関連規程(サンプル)」にテレワークの情報セキュリティに関するひな形、サンプルを追加しました。
●付録8「中小企業のためのセキュリティインシデント対応の手引き」を追加しました。
4:本ガイドラインの活用方法
本ガイドラインの活用にあたって、情報セキュリティに組織的に取り組んだ経験は必要ありません。本ガイドラインにより、事業の特徴に応じた情報セキュリティ対策を段階的に進めていくことができます。「第1部経営編」は、全ての経営者に読んでいただきたい内容です。まずはご一読ください。「第2部実践編」は、あなたの組織にあったSTEPから進めてください。
第1部経営者編、より一部を抜粋して、ご紹介します。
【経営者は何をやらなければならないのか】
企業で情報セキュリティを確保するための、経営者の役割を説明します。情報セキュリティの確保に向けて、経営者は(1)に示す「3原則」について認識したうえで(2)に示す「重要7項目の取組」の実施を指示する必要があります。
(1)認識すべき「3原則」
経営者は、以下の3原則を認識し、対策を進める必要があります。
原則1:情報セキュリティ対策は経営者のリーダーシップで進める
経営者は、IT活用を推進する中で、情報セキュリティ対策の重要性を認識し、自らリーダーシップを発揮して対策を進めます。現場の従業員は、安心して業務に従事できる環境を求める一方、利便性が低下し、面倒な作業を伴う対策には抵抗感を示しがちです。そこで、情報セキュリティ対策は、経営者が判断して意思決定し、自社の事業に見合った情報セキュリティ対策の実施を主導します。
原則2:委託先の情報セキュリティ対策まで考慮する
業務の一部を外部に委託するにあたって重要な情報を委託先に提供する場合、委託先がどのような情報セキュリティ対策を行っているか考慮する必要があります。委託先に提供した情報が漏えいしたり、改ざんされたとき、それが委託先の不備だったとしても、事故の影響を受ける者から委託元としての管理責任を問われることになります。そのため、委託先や、共同で仕事を行っているビジネスパートナーなどの情報セキュリティ対策に
関しても、自社同様に十分な注意を払います。また、受託している場合には、委託元の要求に応じる必要があります。
原則3:関係者とは常に情報セキュリティに関するコミュニケーションをとる
業務上の関係者(顧客、取引先、委託先、代理店、利用者、株主など)からの信頼を高めるには、普段から自社の情報セキュリティ対策や、事故が起きたときの対応について、関係者に明確に説明できるように経営者自身が理解し、整理しておくことが重要です。
情報セキュリティに関する取組方針を常日頃より関係者に伝えておくことで、サイバー攻撃によるウイルス感染や情報漏えいなどが発生した際にも、説明責任を果たすことができ、必要以上の不安を与えることなく、信頼関係を維持することができます。
(2)実行すべき「重要7項目の取組」
中小企業で情報セキュリティを確保するための、経営者の役割を説明します。経営者は、以下の重要7項目の取組について、自ら実践するか、実際に情報セキュリティ対策を実践するうえでの責任者・担当者に対して指示します。場合によっては、経営者自らが実行することも必要になると考えられます。
取組1:情報セキュリティに関する組織全体の対応方針を定める
情報セキュリティ対策を組織的に実施する意思を、従業員や関係者に明確に示すために、どのような情報をどのように守るかなどについて、自社に適した情報セキュリティに関する基本方針を定め、宣言します。自社の経営において最も懸念される事態は何かを明確にすることで具体的な対策を促し、組織としての方針を立てやすくなります。
取組2:情報セキュリティ対策のための予算や人材などを確保する
情報セキュリティ対策を実施するために、必要な予算と担当者を確保します。これには事故の発生防止だけでなく、万が一事故が起きてしまった場合の被害の拡大防止や、復旧対応も含みます。情報セキュリティ対策には高度な技術が必要なため、専門的な外部サービス※の利用も検討します。
取組3:必要と考えられる対策を検討させて実行を指示する
懸念される事態に関連する情報や業務を整理し、損害を受ける可能性(リスク)を把握したうえで、責任者・担当者に対策を検討させます。必要とされる対策には予算を与え、実行を指示します。実施する対策は、社内ルールとして文書にまとめておけば、従業員も実行しやすくなり、取引先などにも取り組みを説明する際に役に立つので、併せて指示します。実行を指示した情報セキュリティ対策がどのように現場で実施されているかにつき、月次や四半期ごとなど適切な機会をとらえて報告させ、進捗や効果を把握します。
取組4:情報セキュリティ対策に関する適宜の見直しを指示する
取組3で指示した情報セキュリティ対策について、実施状況を点検させ、取組1で定めた方針に沿って進んでいるかどうかの評価をします。また業務や顧客の期待の変化なども踏まえて基本方針なども適宜見直しを行い、致命的な被害につながらないよう、対策の追加や改善などを行うように、責任者・担当者に指示します。
※▲専門的な外部サービスについてはIPAが公開している「情報セキュリティサービス基準適合サービスリスト」を活用することができます。
取組5:緊急時の対応や復旧のための体制を整備する
万が一に備えて、緊急時の対応体制を整備します。被害原因を速やかに追究して被害の拡大を防ぐ体制を作るとともに、的確な復旧手順をあらかじめ作成しておくことにより、緊急時に適切な指示を出すことができます。整備後には予定どおりに機能するかを確認するため、被害発生を想定した模擬訓練を行うと、意識づけや適切な対応のために効果的です。経営者のふるまいについても、あらかじめ想定しておけば、冷静で的確な対応が可能になります。
取組6:委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
業務の一部を外部に委託する場合は、委託先でも少なくとも自社と同等の対策が行われるようにしなければなりません。そのためには契約書に情報セキュリティに関する委託先の責任や実施すべき対策を明記し、合意する必要があります。
ITシステム(電子メール、ウェブサーバー、ファイルサーバー、業務アプリケーションなど)に関する技術に詳しい人材がいない場合、自社でシステムを構築・運用するよりも、外部サービスを利用したほうが、コスト面から有利な場合がありますが、安易に利用することなく、利用規約や付随する情報セキュリティ対策などを十分に検討するよう担当者に指示
する必要があります。
取組7:情報セキュリティに関する最新動向を収集する
情報技術の進化の早さから、実施を検討するべき対策は目まぐるしく変化します。自社だけで把握することは困難なため、情報セキュリティに関する最新動向を発信している公的機関※などを把握しておき、常時参照することで備えるように情報セキュリティ担当者に指示します。また、知り合いやコミュニティへの参加で情報交換を積極的に行い、得られた情報について、業界団体、委託先などと共有します。
※▲情報セキュリティに関する最新動向を発信している公的機関
IPA(独立行政法人情報処理推進機構)のウェブサイトhttps://www.ipa.go.jp/security/index.html
NISC(内閣サイバーセキュリティセンター)のウェブサイトhttps://www.nisc.go.jp/
第3版の公開から約4年が経過し、第3.1版が改定されました。この第3.1版では、中小企業においても急速に導入が進むテレワークのセキュリティ対策について追加されています。また、巧妙化するサイバー攻撃などにより、被害が拡大していることから、セキュリティインシデント発生時の対応を追加し、いざというときの手引きを付録にまとめてあります。
中小企業は、情報セキュリティ対策に十分な経営資源を割り当てることが難しいという制約を抱える一方で、経営者が意思決定を迅速に行うことができ、従業員とのコミュニケーションも容易であるなど、変化に応じた柔軟な対応が出来るという強みがあります。DXへの取り組みが企業の成長を左右するといわれる中、サイバー攻撃等による被害も増加しています。デジタル技術特有のリスクから会社を守るためにも、本ガイドラインをご活用ください。
詳しくは下記参照先をご覧ください。
- 参照ホームページ [ 独立行政法人情報処理推進機構 ]
- https://www.ipa.go.jp/security/guide/sme/about.html