中小企業の情報セキュリティ対策ガイドライン(第2版) 勘所①
更新日 : 2020年08月05日
情報漏えいのダメージは中小企業の方が深刻?
個人情報の流出がよくニュースになりますが、知名度が低い企業からの漏えいは、ほとんどメディアに載ることはありません。小規模のデータ流出まで含めると、毎日のように流出事件・事故は起きていると推測できます。情報漏えいによるダメージの影響は、組織の大小とはあまり関係ありません。金銭的な賠償、システム停止による営業損失、社会的信用の失墜による影響は、むしろ基礎体力が弱い中小企業の方が深刻とも言えます。
犯罪者はサプライチェーンを狙う
セキュリティ対策が必須であるもう一つの理由は、サプライチェーン、企業間のつながりです。今の世の中、1社で完結するようなビジネスはなく、設計から製造、発送、保守、コールセンターなどの業務で、多くの作業が外部に委託され、大切な顧客情報や技術情報も複数の企業で共有しています。サプライチェーンの中で、1社でもセキュリティに弱点があれば、標的になってしまいます。犯罪者はガードが堅そうな大企業より、まず周辺の会社の様子を探ってきます。万一、そこから共有する機密情報が漏れてしまったら、1社だけの問題では済みません。
「マイナンバー法」と「改正個人情報保護法」で責務も増えた
守らなければならない情報も増えました。その一つは、全ての事業者が保持するマイナンバー。個人情報保護法も改正され、保有する個人情報の数に関わらず、今は全ての事業者に適用されるようになっています。
このような要因から、企業の情報セキュリティに対する社会的責任、法的な要請も増し、安全対策の強化は、産業社会全体の緊急の課題になっているのです。
「中小企業の情報セキュリティ対策ガイドライン(第2版)」とは?
2016年11月、IPA(独立行政法人 情報処理推進機構)から「中小企業の情報セキュリティ対策ガイドライン(第2版)」が公開されました。
「ガイドライン」の目的は?
『中小企業の皆様に情報を安全に管理することの重要性についてご認識いただき、必要な情報セキュリティ対策を実現するための考え方や方策を紹介する』冒頭に出てくる「ガイドライン」の目的です。もう少し平たく言えば、セキュリティ対策の分かりやすい手引き書を作りました ということになるでしょう。
セキュリティ対策は、"どこから手を付けたらいいの?""どこまでやればいいの?"。多くの皆様が抱える疑問は、このあたりではないでしょうか? 「ガイドライン」には、このツボに応える"実践的なマニュアル"の要素がつまっています。
「ガイドライン」の構成と中身は?
「中小企業の情報セキュリティ対策ガイドライン」は以下のサイトから入手できます。
IPA(独立行政法人情報処理推進機構)
https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html
本編は60ページ弱のボリュームですが、まず構成と大まかな内容を見ておきましょう。以下の3つのパートから成り立っています。
1部 経営者編 --中小企業経営者がセキュリティに取り組まなければならない理由
2部 管理実務編 --セキュリティ対策の具体的な方法と手順
付録 --対策を進めやすくするためのツールと情報
次回からは、経営者と管理実務者の視点から、それぞれの内容を見ていきます。
関連記事
- 「中小企業の情報セキュリティ対策ガイドライン(第2版)」の勘所 2.経営者とセキュリティ担当者、それぞれのミッションは?
- 「中小企業の情報セキュリティ対策ガイドライン(第2版)」の勘所 3.セキュリティ対策の難関は"装備より維持"です