会社の情報を守るための手引き書～中小企業の情報セキュリティ対策ガイドライン～

企業のIT化を進めれば進めるほど、情報セキュリティ対策は重要になってきます。本コラムではIPAがまとめた「中小企業の情報セキュリティ対策ガイドライン」を参考に、中小企業の情報セキュリティ対策の勘所を紹介しています。

情報セキュリティとは

現在、企業で情報システムを使っていないところは無いと思います。PC、スマホ、タブレット等の端末を使い、インターネットを介し情報のやり取りを行う事で、飛躍的に仕事の利便性・効率性が高まります。

しかしながら、便利になった反面、大きな被害を被ってしまう原因にもなってしまっています。

悪意ある者が、インターネットから侵入して自社の機密情報を盗んだり、PC、スマホ、タブレット等にウィルスを送り込んで情報システムを使用できないようにし、会社の運営を妨げたりします。
また、悪意が無くても、従業員による操作ミス等で情報流出が生じてしまうことも多々あります。

このような情報の盗難や流出、PC等がウィルスによって使えなくなってしまうことを防ぐことを情報セキュリティと呼び、具体的な対策を行う事が情報セキュリティ対策です。

中小企業の情報セキュリティ対策

悪意ある者が存在する限り、また、人間がミスをする生き物である限り、何かしらの対策を行わなければ情報セキュリティを守ることはできません。

そして重要なのが、大企業であれ、中小企業であれ、会社の大きさに関わらず、情報に関する危険性は変わらないということです。

そのため、全ての企業で情報セキュリティ対策は必要なものとなっています。基本的には大企業も中小企業も同じような情報セキュリティ対策を行わなければなりません。

ところが、中小企業では、情報セキュリティに精通する人材を確保することは難しく、自社で何をすれば良いかが分からないとう根本的な問題を抱えている場合が多いです。

そこで、中小企業が情報セキュリティ対策を行う際の指針としてオススメしたいのが、IPA（独立行政法人情報処理推進機構）がまとめた「中小企業の情報セキュリティ対策ガイドライン」です。

「中小企業の情報セキュリティ対策ガイドライン」を用いることで、セキュリティに精通した人材がいない中小企業でも、正しい情報セキュリティ対策を行う事ができます。

こちらのホームページを参照：中小企業の情報セキュリティ対策ガイドライン

「中小企業の情報セキュリティ対策ガイドライン」は、情報セキュリティ対策で重要なものだけをまとめているのにも関わらず全70ページもあります。これは、今や情報セキュリティ対策は複雑でかつ重要になっていることを表しています。

本コラムはこのガイドラインを参考に記載しています。

情報セキュリティ対策をしないと被る不利益

情報セキュリティ対策を行わずに、自社の情報の漏洩や、ウィルスによる情報システムの停止といった情報セキュリティ事故が生じてしまうと、企業は大きな不利益を被ることになります。

例えば、不利益に次のようなものがあります。

不利益１：金銭の損失

取引先から預かった機密情報や個人情報を漏洩すると損害賠償を請求される可能性があります。また、銀行口座の情報やクレジットカードの情報を盗まれてしまうと、不正送金や不正利用により直接的な金銭被害を被ることもあります。

不利益２：顧客の喪失

重要な情報に関する事故を発生させると、管理責任を問われ社会的評価が低下します。情報を管理できない会社と認識されてしまうと顧客が離れていってしまいます。

不利益３：事業の停止

情報システムが使用できなくなると生産活動の遅れや営業機会の損失などにより業務が停滞してしまいます。

不利益４：従業員への影響

情報セキュリティ対策を怠り、内部不正が容易に行えるような職場環境では従業員は安心して働けません。また、組織的な対策を取らずに、従業員任せにして責任を押しつけるような対策では従業員が会社から離れてしまう可能性があります。

経営者が負う責任

情報セキュリティ事故が生じた場合、自社の経営、顧客、従業員に対して多大なる影響を及ぼします。
その結果、経営者は次のような責任を負うことになります。

責任１：経営者などに問われる法的責任

情報漏洩や製品・サービス供給の停止等により企業や第三者に損害を与えた場合は、法律に基づく損害賠償責任を問われます。
責任追及の根拠とされる主な法律：民法、会社法等
情報管理が不適切な場合の処罰：刑法、個人情報保護法、マイナンバー法等

責任２：関係者や社会に対する責任

情報の提供者や顧客などの関係者に対する責任もあります。取引先との信頼関係の喪失、業界全体のイメージダウンに繋がる可能性もあります。

経営者がやるべき事

情報セキュリティ事故を起こさせないため、経営者は様々な取組みを行う必要があります。

「中小企業の情報セキュリティ対策ガイドライン」には経営者がやるべき事がまとめられています。

取組１：情報セキュリティに関する組織全体の対応方針を定める

自社に適した情報セキュリティに関する基本方針を定め宣言し、従業員や関係者に明確に示します。基本方針を定めることで、具体的な対策を促すことができます。

取組２：情報セキュリティ対策のための予算や人材などを確保する

事故の発生防止や、万が一事故が起きてしまった場合の被害の拡大防止や復旧対応を行うための必要な予算と担当者を確保します。場合によっては専門的な外部サービスの利用の検討も必要です。

取組３：必要と考えられる対策を検討させて実行を指示する

損害を受ける可能性を把握したうえで、責任者・担当者に対策を検討させ、必要とされる対策には予算を与え、実行を指示します。

取組４：情報セキュリティ対策に関する適宜の見直しを指示する

取組3で指示した対策について実施状況を点検させ、方針に沿って進んでいるかどうかの評価をします。適宜見直しを行い、対策の追加や改善等を行うように、責任者・担当者に指示します。

取組５：緊急時の対応や復旧のための体制を整備する

万が一に備えて、緊急時の対応体制を整備します。復旧手順をあらかじめ作成しておくことにより、緊急時に適切な指示を出すことができます。

取組６：委託や外部サービス利用の際にはセキュリティに関する責任を明確にする

外部に委託する場合は、委託先でも情報セキュリティ対策が行われるようにしなければなりません。そのためには契約書に情報セキュリティに関する委託先の責任や実施すべき対策を明記し、合意する必要があります

取組７：情報セキュリティに関する最新動向を収集する

情報技術の進化の早さから、実施を検討するべき対策は常に変化します。情報セキュリティに関する最新動向を常時参照することで、適切な対策を備えるように情報セキュリティ担当者に指示します。

具体的な取組み

具体的に情報セキュリティ対策をどうのように取り組んでいけば良いかを、「中小企業の情報セキュリティ対策ガイドライン」では段階を追って示しています。

１．初めの取っかかり

情報セキュリティ５箇条の実施します。情報セキュリティ５箇条は基本的な対策をまとめたものであり、必ず実施しなければならない対策です。

情報セキュリティ５箇条
①OSやソフトウェアは常に最新の状態する
②ウイルス対策ソフトを導入する
③パスワードを強化する
④共有設定を見直す
⑤脅威や攻撃の手口を知る

２．組織的な取組みの開始

情報セキュリティ対策を従業員個人に任せるのでは無く、組織的な取組みで実施します。

具体的には次を実施します。
①情報セキュリティ基本方針の作成と周知
②実施状況の把握
③対策の決定と周知

３．本格的な取組み

情報セキュリティ対策は、どこまで取り組めば良いかを判断するのは難しいところです。次の対策まで行えば一通りできている認識しても良いと思われます。

①管理体制の構築
②デジタルトランスフォーメーション(DX)の推進と情報セキュリティの予算化
③情報セキュリティ規程の作成
④委託時の対策
⑤点検と改善

４．より強固にする取組み

技術の悪用や技術的な攻撃を防ぐためには、人的な注意や対策だけでは限界があり、技術的対策を強化したり、外部の専門サービスを利用する必要があります。

PCやインターネットを活用している企業が、より強固な情報セキュリティ対策に取り組むために必要とされる技術的対策や対策の導き出し方について、「中小企業の情報セキュリティ対策ガイドライン」に記載されています。

①情報収集と共有
②ウェブサイトの情報セキュリティ
③クラウドサービスの情報セキュリティ
④テレワークの情報セキュリティ
⑤セキュリティインシデント対応
⑥セキュリティサービス例と活用
⑦技術的対策例と活用
⑧詳細リスク分析の実施方法

弊社の情報セキュリティ対策支援について

弊社は、中小企業向けのデジタル化支援を行っています。デジタル化で経営課題をどのように解決していくかの計画立案、アプリ・ソフトウェアの導入支援、システムの運用改善の支援、等の企業のデジタル化、IT化を推進する幅広い支援を行っています。

デジタル化を進めればその分情報セキュリティ事故の可能性も増加します。デジタル化と情報セキュリティ対策は表裏一体であり、弊社は企業のデジタル化と共に情報セキュリティ対策の支援も行います。

お気軽にお問い合わせください。