中小企業の経営者がすべき情報セキュリティ対策について〜IPAセキュリティセンターのガイドラインより〜
はじめに
つい先日、トヨタ自動車の仕入れ先である部品会社で生じたシステム障害によって、国内全工場が停止するという事件があました。官房長官から、原因はサイバー攻撃であるという発言もあり、経産省からも、サイバー攻撃のリスクに対する注意が呼びかけられているようです。
以前の中小企業の経営者にとっては、海外政府が関与するようなサイバー攻撃は遠い世界の出来事のように感じておられたかもしれません。しかし、(今回の事案がどうだったかはわかりませんが)サプライチェーン上で一番弱い部分を叩くというのは、サイバー攻撃の定石のひとつです。
いまどきは、調達、製造、販売と一連のサプライチェーンがITシステムで緊密に連携して動く場合が大半かと思います。したがって、自社のセキュリティ対策が、少なくとも一般に求められているものと比較して不備の程度が大きかった場合、そして、それを見つけた集団にサイバー攻撃の対象とされた場合、これによって自社に生じる損害は莫大なものとなる可能性があります。
そのため、今後ますます中小企業にとっても情報セキュリティへの投資が経営上の重要な課題となっていくと思われます。
以下では、IPA(情報処理推進機構:経産省が所管し、日本のIT国家戦略を技術、人材の面で支えるために設立された独立行政法人)セキュリティセンターが、2021年3月10日に公表した「中小企業の情報セキュリティ対策ガイドライン 第3版」(リンク:中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構 以下、「ガイドライン」といいます)をベースに、重大なリスクを回避するために、中小企業の経営者は具体的にどのように動くことが求められているのか、について検討します。
企業にとっての重大リスク
まず最初に、情報セキュリティ対策が不十分であるために、企業がどんな不利益を被るのかを以下に整理します(参照:ガイドライン pp.6-7)。
(1) 金銭的損失:顧客や取引先からの損害賠償請求、ランサムウェアの身代金や不正送金等による直接的な損失
(2) 顧客の喪失:受注停止、取引先の信用失墜
(3) 業務の停滞:原因調査や被害拡大防止のため、情報システムの停止、インターネット接続の遮断などが必要となり、納期遅れ・営業機会を損失
(4) 従業員への影響:モラルの低下、事故の責任問題への不満。ある経営者「個別の損害より、職場環境が暗くなったことが一番困った」
経営者にとっての重大リスク
次に、情報セキュリティ対策が十分ではなかったことで、「経営者個人」に対して問われうる責任として、以下の法的責任と社会的責任が挙げられています(ガイドライン pp.8-9)。
法的責任
(1)個人情報保護法、(2)マイナンバー法、(3)不正競争防止法、(4)金融商品取引法、(5)民法
社会的責任
顧客・取引先・従業員・株主などからの経営者としての責任追求(その結果、会社法上の法的責任が追求されるリスクも生じる)
コメント
ガイドラインには、個人情報保護法・マイナンバー法・金融商品取引法については、懲役や罰金の規定もあることが触れられています。とはいえ、上記の法的責任については、それぞれ該当する場合の要件が厳密に決まっていますので、たとえば会社のPCがウィルスに感染したからといって、即座にこれらの法律に触れて違法になるというわけではありません。まずは、事実確認が大切です。
経営者に求められているアクション
同ガイドラインでは、中小企業の経営者に対して、①「3つの原則」を認識することと、②それを踏まえて「7項目の取組」の実施を社内で指示することが求められています(ガイドライン pp.10-13)。
以下、詳細を記載します。
経営者が「認識」すべき「3原則」
原則1:情報セキュリティ対策は経営者のリーダーシップで進める
例えばパスワード管理を厳密にするなど、セキュリティをしっかりしようとするほど、会社の従業員にとっては、普段の仕事上で面倒や不便が増えてしまいます。特に、情報セキュリティを所管する担当者や部署が設置されていない中小企業では、なおさら、情報セキュリティ対策には消極的になりがちです。
したがって、最終的な意思決定ができる経営者が強力なリーダーシップを発揮して、継続的に対策がまわるようになるまで組織や体制まで整えていかなければ、しばらくして振り返ると「よくわからない高い装置を買っただけ」「規定は作ったけど、社内の誰も知らない」といった状況になってしまいがちです。
原則2:委託先の情報セキュリティ対策まで考慮する
たとえば、自社が他社の秘密情報等を受領し、これを業務委託先に預けた場合を考えます。業務委託先の情報セキュリティ対策がおそまつであったために他社の情報が漏洩してしまった場合、法的にも社会的にも「委託先が悪い。うちは悪くない」という主張が通じるかというと、難しい場合が多いと思います。しかし、業務委託先の情報セキュリティ対策について、どの程度関心をもってきたかと問われると、「うーん」というケースが多いのではないでしょうか。
実際には、他社から秘密情報を受領する段階の契約で、委託先に対する契約上の管理義務を負っている場合も多いかと思いますし、中小企業の経営者に対して、こうしたガイドラインが提示されている以上、経営者としては「自社同様、委託先の情報セキュリティ対策についても注意を払うべし」という認識をもたざるを得ないかと思います。
原則3:関係者とは常に情報セキュリティに関するコミュニケーションをとる
少なくとも、事業上の関係者(顧客・取引先・委託先・代理店・株主など)に対して、自社の情報セキュリティ対策等についての説明責任を果たすためには、日頃から経営者自らがこれを理解しているよう努めることが大切です。
なお、そのためのコミュニケーションツールとして、情報セキュリティ対策に取り組んでいることを自己宣言する制度「SECURITY ACTION」が準備されています。IPAのサイトから同制度の申し込み(SECURITY ACTION ロゴマークの使用申込方法 : SECURITY ACTION セキュリティ対策自己宣言)をすると、「SECURITY ACTION」の自己宣言をしたことを示すロゴをダウンロードして、使えるようになります。
経営者が指示すべき「7項目の取組み」
1 情報セキュリティに関する組織全体の対応方針を定める
具体的には、「情報セキュリティ基本方針」を文章として作成し、これを周知することになります。
2 情報セキュリティ対策のための予算や人材などを確保する
具体的には、情報セキュリティの責任者や緊急時対応体制の整備などを含む管理体制の構築や、情報セキュリティ規定の作成、などをすることになります。
3 必要と考えられる対策を検討させて実行を指示する
具体的には、いますぐ始められる小さな対策(パスワードの強化やOSのアップデートなど)から始めて、現状の把握と対策の決定・周知、特に委託時の対策等を決めるよう、指示することになります。
4 情報セキュリティ対策に関する適宜の見直しを指示する
具体的には、使用するクラウドサービスの情報セキュリティの確認、各種情報セキュリティサービスの活用などが挙げられます。
5 緊急時の対応や復旧のための体制を整備する
自社システムの全体構成を図式化するなどして把握したうえで、対策の検討と必要な予算の確保等をすることになります。
6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
これに限らずですが、自社が締結する業務委託契約の内容についても精査・改善していくことが望ましいです。
7 情報セキュリティに関する最新動向を収集する
例えば、IPAのメールニュース(メールニュース:IPA 独立行政法人 情報処理推進機構)に登録することで、セキュリティ対策情報が送られてくるようになります。また、NISC(内閣サイバーセキュリティセンター)のウェブサイトからは、調査報告書などの公表資料が取得できます。そのほか、ネット上にはさまざまな情報がありますが、真偽のほどはご自身で判断する必要があります。
おわりに
以上、IPAのガイドラインを参照しつつ、中小企業の経営者がどういう認識をもって、どういう指示を出す必要があるかについて、大枠をご説明しました。
たとえば、情報セキュリティ規定などの文章についてはIPAからサンプルが出ていますが、分量が膨大ですし、なにより内容を理解せずにそのまま社名だけ変えたとしても本質的には何の意味もありません。また、取引先との秘密保持契約や業務委託契約の内容についても、情報セキュリティの事故を想定したものになっているか、見直しが必要になる場合もあります。
情報セキュリティ対策として最低限何をしていれば良いかよくわからないという経営者の方には、初回無料でご相談を承っておりますので、お気軽にご相談ください。