経営者の判断が会社の存続を決める！ 不適切な情報管理を防ぐには

経営に大きな影響を与える情報セキュリティ対策

こうした状況の中、IPAでは2009年版の内容を刷新した「中小企業の情報セキュリティ対策ガイドライン（第2版）｣（以下、第2版）を2016年11月公開した。第2版は、経営者の観点で情報セキュリティ対策の必要性や管理者が組織的な対策を講じる際の具体的な手引きなどを追記している。

そのポイントは3つある。

1. 情報セキュリティ対策は経営に大きな影響を与えることから、企業の継続的な発展のために適切な対策（投資）を行う。
2. 法的・道義的責任を果たすためにも、経営者が自社の情報セキュリティについて明確な方針を示す。
3. 情報セキュリティ対策を組織として実施するために必要な取り組みを担当者に指示する

といった対策が重要になると記している。

既に情報セキュリティ対策を実施しているという中堅中小企業も、現状の対策を見直し、必要に応じて対策を強化するなど全社的な取り組みを通じ、企業競争力を高めることにもつながるはずだ。

企業ITの弱点を狙ったサイバー攻撃や不正行為、うっかりミスによる機密情報や個人情報の漏えいが後を絶たない。情報漏えいの原因がどのようなものであっても、企業は顧客・取引先の重要な情報を守れなかった加害者として社会から批判されることもある。さらに、情報セキュリティ対策の不備により、多数の被害者にお詫びの金品を送るなど、企業は様々な不利益を被ることになる。

その1つが｢資金の喪失｣だ。例えば、業務委託先の従業員による内部不正で約3500万件の個人情報が流出した通信教育事業者の場合、被害者1名あたり500円相当、総額で約175億円の金券をお詫びとして支払ったという。第2版では、「金銭の喪失」のほか、信用失墜による｢顧客の喪失｣や、サイバー攻撃によるシステム停止などの｢業務の喪失｣、企業のイメージダウンによるモチベーション低下などの｢従業員への影響｣を企業が被る不利益として挙げている。

お詫びのコストのほかにも、被害者から賠償を請求されるといった経済的な損失や金銭ではあがなえない社会的な信用を失う恐れもある。情報漏えいの処理にかかわるコストは、情報セキュリティ対策を強化するコストをはるかに上回ることを経営者は肝に銘じる必要がある。

個人情報漏えいは被害者へのお詫びだけでなく、場合によっては経営者などが法的な責任を負うことになる。企業が管理義務のある個人情報などを適切に管理していなかった場合、経営者や役員、担当者は業務上過失として処罰の対象となることもある。例えば、マイナンバー法では特定個人情報などを不正に漏えいした場合、3年以下の懲役もしくは150万円以下の罰金刑が行為者と企業に科せられる。このほか、企業機密情報の不正取得、利用行為では不正競争防止法が適用され、損害賠償が請求されることもある。

こうした法的責任に加え、情報漏えい事故の発生により、営業停止や売上高の減少、企業イメージの低下など自社の損害だけでなく、取引先との信頼関係を失う恐れもある。このため、経営者は関係者や社会に対する責任をいかに果たしていくかといった観点から、情報セキュリティ対策を考える必要がある。

それでは、情報セキュリティの確保に向け、経営者は何をすればいいのだろうか。第2版では、経営者が認識すべき「3原則」を挙げ、対策の推進を促している。

第1の原則は｢情報セキュリティ対策は経営者のリーダーシップのもとで進める｣ことだ。現場の従業員は情報セキュリティの重要性は理解していても、面倒な作業を伴う対策には抵抗しがちだ。そこで、経営者は脅威がもたらすリスクに対し、情報セキュリティ対策をどこまで実施すれば自社の許容範囲に収まるのかを判断し、自社の事業に見合った対策が必要だ。

第2の原則は｢委託先の情報セキュリティ対策まで考慮する｣ことだ。業務の一部を外部に委託し、個人情報などを提供する場合、委託先にも自社と同様のセキュリティ対策を講じてもらうように要求する。万一、委託先から個人情報などが流出した場合でも、委託した企業の責任は免れないことを経営者は理解する必要がある。

第3の原則は｢情報セキュリティに関する関係者とのコミュニケーションを密接にする｣ことだ。顧客・取引先・株主など業務上の関係者に対して情報セキュリティの方針や対策を日頃から伝えるなど、問題発生時にも関係者からの信頼を得られる環境づくりが必要になる。

情報セキュリティ対策の基本となるのが方針（情報セキュリティポリシー）の策定である。既に策定している企業も多いと思うが、新たな脅威が出現するなど実態に即したものになっているか常にチェックし、必要に応じて見直す必要がある。企業活動で直面するリスクは、事業内容や取り扱う情報、企業を取り巻く環境などによって異なる。そこで、自社のリスクを認識し、自社に合った情報セキュリティポリシーを策定する必要がある。

情報セキュリティリポリシー策定の流れは、以下に記載するので是非参考にしてほしい。

1. 情報資産の重要度を機密性、完全性、可用性の観点から評価し、管理すべき情報資産を選定する
2. 選定した情報資産について、リスク値（リスクの大きさ）を算定する
3. リスク値の大きなものから情報セキュリティ対策を検討し、自社に適した対策を実施する
4. リスク低減のために決定した対策を社内のルールとして文書化し、情報セキュリティポリシーとして取りまとめる

情報セキュリティ対策が適切に行われるためには、従業員にポリシーの遵守を周知するだけでなく、本当に実施されているかチェックする必要がある。具体的には、ポリシーの項目を記載したチェックシートを作成し、部門ごとに点検する。監査担当者などを配置しにくい中堅中小企業では、経営者や管理者などが点検結果を確認する。

情報セキュリティポリシーを定期的にチェック、見直すことにより、情報資産に新たな脅威が発生していないか、業務環境の変化に対応しているかなど現状を確認。情報セキュリティポリシーにかかわるPlan（策定）、Do（実践）、Check（監査・点検）、Act（決定事項の実行）といったPDCAサイクルを回しながら、改善していくことになる。「中小企業の情報セキュリティ対策ガイドライン（第2版）」では、情報セキュリティポリシーのサンプルや対策状況のチェックシートなどを付録として用意しており、参考にするといいだろう。

ここまで様々なセキュリティ対策を述べてきたが、やはり肝になるのは経営者の決断になる。これからの時代、漏えいしてはいけない情報は増えていく。経営者は、セキュリティ強化が経営の最優先事項と認識し、対策の改善につなげていってほしい。