中小企業の情報セキュリティ対策ガイドライン、IPAが公開
中小企業の情報セキュリティ対策ガイドラインは、情報セキュリティ対策に取り組む際の、経営者が認識し実施すべき指針、社内において対策を実践する際の手順や手法をまとめたものです。個人事業主、小規模事業者を含む中小企業の利用を想定しています。情報処理推進機構(IPA)は2024年7月末、「中小企業の情報セキュリティ対策ガイドライン第3.1版」を公開しました。中小企業が気を付けたいポイントを解説します。
中小企業の情報セキュリティ対策ガイドラインは、情報セキュリティ対策に取り組む際の、経営者が認識し実施すべき指針、社内において対策を実践する際の手順や手法をまとめたものです。個人事業主、小規模事業者を含む中小企業の利用を想定しています。情報処理推進機構(IPA)は2024年7月末、「中小企業の情報セキュリティ対策ガイドライン第3.1版」を公開しました。中小企業が気を付けたいポイントを解説します。
目次
IPAの中小企業の情報セキュリティ対策ガイドラインによると、経営者が情報セキュリティ対策を怠ると、企業は以下のような不利益を被る可能性があります。
ガイドラインによると、取引先などから預かった機密情報や個人情報を漏洩させてしまった場合は、取引先や顧客などから損害賠償請求を受ける場合があります。
金銭的な損失は、中小企業であっても数千万円に上る可能性があり、一気に経営が傾きかねません。
重要な情報に関する事故を発生させると、その原因が何であれ、事故を起こした企業に対する管理責任が問われ、社会的評価は低下します。同じ製品やサービスを提供している企業が他にあれば、事故を起こしていない企業の製品やサービスに移る場合があります。
とくに、大手メーカーのサプライチェーンに位置する企業の場合は、これまで継続してきた受注が停止に追い込まれることにもなりかねないとして注意を呼び掛けています。
デジタル技術の活用が進む現代社会において、情報システムの事故は、生産活動の遅延や営業機会の損失につながり、事業の停止に追い込まれる可能性があります。特に中核事業を支える情報システムの事故は、企業の存続を脅かす可能性もあります。
情報セキュリティ対策の不備は、内部不正を容易にし、従業員のモラル低下を招く可能性があります。また、事故発生時に従業員だけが責任を負わされるような状況は、従業員の働く意欲を低下させ、退職につながる可能性もあります。
IPAガイドラインによると、経営者は、まず「情報セキュリティ対策は経営者のリーダーシップで進める」「委託先の情報セキュリティ対策まで考慮する」「関係者とは常に情報セキュリティに関するコミュニケーションをとる」という3原則を理解する必要があります。
その上で、以下の7つのステップについて、自ら実践するか、責任者・担当者に対して指示を出していく必要があります。
IPAガイドラインは、具体的な対策を、情報セキュリティ5か条でまとめたうえで、「組織的な取り組みを開始する」「本格的に取り組む」「より強固にするための方策」に分けて解説しています。
情報セキュリティ対策の第一歩として、IPAは「情報セキュリティ5か条」を提唱しています。
具体的には、パスワードは「長く」「複雑に」「使い回さない」ようにする、データ保管などのウェブサービスやネットワーク接続した複合機の設定を間違って社外からでも見られるようになっていないかなどを確認しましょう。
最近では、ウイルス対策ソフトを潜り抜けてくるサイバー攻撃も増えているので最新の手口についても常にアンテナを張っておきましょう。
「情報セキュリティ5か条」に取り組んだら、次は組織全体で情報セキュリティ対策に取り組む体制を作りましょう。
IPAの「5分でできる!情報セキュリティ自社診断」を活用したり、SECURITY ACTIONに参加したりすることも有効です。
とくに、SECURITY ACTIONは補助金・助成金の案件の申請要件にもなっているので、取得しておくと便利です。
さらに本格的な対策を実施していく段階では、情報セキュリティ管理体制の構築、緊急時対応体制の整備、情報セキュリティ規程の作成など、より組織的な取り組みが必要となります。また、業務委託を行う際には、委託先における情報セキュリティ対策についても十分に配慮しましょう。
社内業務の一部または全部を外部に委託したり、レンタルサーバーやクラウドサービス
などの外部サービスを利用したりすることが一般的になっています。重要な情報を渡したり、処理を依頼したりする場合には、委託先にも情報セキュリティ対策を実施してもらう必要があります。
委託先の対策不足で事故が起きた場合には、委託元は管理責任を問われてしまいます。直接指示することが難しい外部の組織に、対策を実施してもらうには、取引条件のひとつ
として契約書や覚書などに具体的な対策を明記しておきましょう。
サイバー攻撃はどんどん進化していきます。それに伴って、情報セキュリティ対策もアップデートが必要です。
最新の脅威情報や技術動向を把握し、必要に応じて対策を見直していくことが重要です。ガイドラインは、ウェブサイト、クラウドサービス、テレワークなど、様々な分野における情報セキュリティ対策についての情報を提供しています。
たとえば、ガイドラインは中小企業のためのクラウドサービス安全利用のための15項目を紹介しています。
とくに情報セキュリティに気を配る必要があるのが、ECサイトです。IPAによると、ECサイトは、世界中から絶えずサイバー攻撃にさらされています。
そのため、中小企業がECサイトで取り扱うクレジットカード情報や個人情報・仕入先情報などの漏えい事件が多数発生しています。カード情報を「非保持化」だけでは解決とはならず、偽の入力画面を表示し、入力させた情報を盗むという巧妙な手口により、被害が増えています。
ECサイトが被害を受けた場合は、サイトの一時閉鎖や原因調査に加え、顧客への謝罪や事故対応費用の負担など経済的損失が発生します。企業としての信頼も大きく損なわれ、売上が回復するまで多くの時間がかかるので、とくに慎重に対応しましょう。
おすすめのニュース、取材余話、イベントの優先案内など「ツギノジダイ」を一層お楽しみいただける情報を定期的に配信しています。メルマガを購読したい方は、会員登録をお願いいたします。
朝日インタラクティブが運営する「ツギノジダイ」は、中小企業の経営者や後継者、後を継ごうか迷っている人たちに寄り添うメディアです。さまざまな事業承継の選択肢や必要な基礎知識を紹介します。
さらに会社を継いだ経営者のインタビューや売り上げアップ、経営改革に役立つ事例など、次の時代を勝ち抜くヒントをお届けします。企業が今ある理由は、顧客に選ばれて続けてきたからです。刻々と変化する経営環境に柔軟に対応し、それぞれの強みを生かせば、さらに成長できます。
ツギノジダイは後継者不足という社会課題の解決に向けて、みなさまと一緒に考えていきます。