中小企業も使える技術情報管理の自己チェックリスト、経済産業省が公開
技術情報管理自己チェックリストとは、経済産業省によると、技術情報管理認証制度の基準をもとに、事業者が情報セキュリティ対策の状況を自ら確認し、必要な対策を把握するためのツールです。中小企業などが共同研究を進める上で欠かせない技術情報流出防止策を考えるうえで役に立つと説明しています。
技術情報管理自己チェックリストとは
経産省によると、共同研究などオープンイノベーションを進める上で、技術情報流出防止策が課題になっています。しかし、経産省の「平成30年度企業における情報の取扱い等の現状等に関する実態調査」によれば、技術が流出したと考えられる事例の流出経路として「取引先による流出」が過半数を占めているといいます。
そこで、経産省は、事業者の情報セキュリティ対策の指標として利用されている国の認証制度「技術情報管理認証」をもとにしたチェックリストを公開しました。以下のような企業での活用を想定しており、中小企業や情報セキュリティの専属担当者がいない事業者でも利用できます。
- これまで情報セキュリティ対策に取り組んだ経験のない事業者が対策を始めるに当たって、まず取り組むべきことを把握したい
- これまで情報セキュリティ対策に取り組んできた事業者が、これまでの取組を振り返り、不足が無いかを確認したい
経済産業省の公式サイトからファイルをダウンロードし、自社の対応状況を確認しながら各チェック項目を選択すると採点され、取り組みが進んでいる対策分野、遅れている対策分野がレーダーチャートで表示されます。
チェックリストの項目
チェックリストは、情報セキュリティに必要な対策を8つの分野に分けてます。
- ルール作り
- ルールの実践
- 人的対策
- 設備的対策
- サイバー対策
- 漏えいを起こさない
- 漏えい後の被害を抑える
- 取引先との関係
さらに、チェックリストの項目は、情報漏えいを防ぐための基礎的な確認事項であるファーストステップ (経営の視点)と情報の漏えいを防ぐための具体的な対策であるセカンドステップ (実務の視点)に分かれています。
ファーストステップ (経営の視点)で確認しているのは、次の項目です。
- 経営者とともに、守るべき情報を特定している
- 守るべき情報が、紙情報、電子情報、試作品・製造装置などの物自体のどれに当たるかを分け、保管場所を記録している
- 守るべき情報には、一目でほかの情報と区別できるよう、目印をつけている
- 取引先などから預けられた情報は、その取引先などの意向を聞いて対策方法を定めている
- 経営層が、以下の取組に責任を持つ管理者を定めている
(1)情報セキュリティのルールを作る
(2)情報に触れる従業員を制限・管理してトレーニングする
(3)情報セキュリティのルールを実行する
(4)情報漏えいが起きそうになっていないかをいつも確認し漏えいが起きたら対応する
(5)(2)~(4)の取組状況を記録する - 情報セキュリティの責任者が誰なのか、全従業員がしっかり分かるようにしている
- 守るべき情報を作ってから廃棄するまでの全期間しっかり管理するための取組を従業員が実践している
- すべての従業員に情報セキュリティに関する意識を高めるためのトレーニング機会を設けている
- 守るべき情報の漏えいや不正な取扱いに気づいた場合の報告先を決めて、全従業員に知らせている
- 守るべき情報の漏えいや不正な取扱いが発生した場合の対応手順を定めている
