中小企業の情報セキュリティ対策ガイドラインがバージョンアップ
クローバーフィールドの杉山です。
3/19に独立行政法人情報処理推進機構(IPA)から提供されている「中小企業の情報セキュリティ対策ガイドライン」が第三版にバージョンアップされました。
今回の表表紙には、SECURITY ACTIONのロゴが真ん中に配置されていおり、「しっかり情報セキュリティの対策をしてね」と言われてようです。
内容の方はと言いますと、ガイドラインの想定読者の記述が簡素化されて、そろそろ初心者ばかりじゃ無くなってきた感があります。
また、対策をしていないことで起こる不利益については、発生するであろう不利益の個別に具体例が追加されており、大切さを主張してグイグイ来てます。
経営者が意識するべき法律として、個人情報保護法以外にも不正競争防止法が追記されています。
最近では某スポーツメーカーの機密情報を持ち出した元社員が逮捕されました。
セキュリティの被害の発生原因として、外部からの犯行と内部の犯行に分類すると圧倒的に内部の犯行が多いのです。
情報資産の管理をしっかりして、就業規則に具体的な罰則を規定しておかないと、内部の犯行に対応できません。
よくある顧客情報を盗む営業マンなどを罰することができません。
コラムに「情報セキュリティガバナンス」も追加されており、企業として情報セキュリティへの取り組みが企業の価値をまること、また利害関係に対する責任であることを意識させる内容になっています。
参照先とてあげられている経済産業省の「情報セキュリティガバナンスの概念」には、政策の必要性として下記の記述があります。
“こうした企業の取組みを支えるためには、企業の情報セキュリティに対する努力を企業価値として評価するとともに、そうした取組みを促進していく環境の整備が重要となることから、政府の果たすべき役割は、企業による自主的な情報セキュリティ対策の取組みを促す環境の整備を支援することになります。”
IT導入補助金の「補助対象となる事業者」になるためには、SECURITY ACTIONの宣言が要件としてあがっていますので、しっかり取り組みを行うことで政府の援助も受けやすい環境になっていきます。
実践編については、SECURITY ACTIONの取り組みと内容が直結しており、取り組みを積極的に推進していることが解ります。
取り組み内容に、今回からクラウドサービスについてのセキュリティの項目が追加されており、クラウドサービスを自社で利用する場合の判断基準や、情報セキュリティ対策での自社の責任範囲の判断に助けになるかと思います。
既にSECURITY ACTIONを宣言されている会社さんも、これから取り組もうか検討されている会社さんも、一度読んで見てはいかがでしょうか。