IPAが発行している「中小企業の情報セキュリティ対策ガイドライン」について説明していきます。
このガイドラインは、タイトルどおり、中小企業を対象として策定されたものではありますが、国内の企業が最低限整備すべき情報セキュリティ対策を示しているものとして、ベースラインとして参照されています。
募集の始まったIT導入補助金を申請する際、今回から新たに必須条件として加えられれた「SECURITY ACTION」も、このガイドラインが基準となっています。
情報セキュリティ対策を行うのは誰?
情報セキュリティ対策は、社内の誰かがリーダーシップをとり推進していく必要があります。だからといって、その人だけにまかせて何とかなるというものではありません。
全員が情報セキュリティ対策の必要性を理解し、自分は大丈夫と思わず、定められたルールを守ることが欠かせません。結構根拠のない自信を持っている人も多いのですが、インターネットに接続する環境が欠かせない現在において、絶対の安全はありません。
このガイドラインには、経営者、担当者、社内システムを利用する人、それぞれの役割が明記されています。
経営者の責任は重い
このガイドラインには、「経営者が法的・道義的責任を問われます!」と明記されています。
現代社会では、情報にも価値や権利が認められています。個人情報保護法をはじめとする各種法令により義務や違反した場合の罰則が定められています。
そのうえ、取締役や監査役は、別途会社法上の忠実義務違反の責任を問われることもあります。
そのため、このガイドラインでは、情報セキュリティについて、担当者に丸投げすることなく経営者が明確な方針を示すとともに自ら実行することの必要性を明記しています。
「丸投げ」胸が痛みますね。詳しい人に任せているから大丈夫と思いたいところですが、情報セキュリティについては、ひとたび事件や事故が発生した場合の責任は重く、できる限りの対策をしていなかった場合の痛手は計り知れません。
お金をかけて最新のセキュリティ対策製品やサービスを導入すればおしまいというわけにいきませんので、しっかり理解して、途切れることのない対策が続けられる体制を構築します。
間違っても、会長や社長のパソコンは例外なんてことのないようにしてください。
参考文献:「中小企業の 情報セキュリティ対策 ガイドライン」 第2.1版
IPA(独立行政法人情報処理推進機構 技術本部 セキュリティセンター)発行