お知らせ・コラム
中小企業の情報セキュリティ対策
中小企業においても、電子メールや表計算ソフトなどの日常的な事務処理から電子商取引や決済、生産管理などの様々な分野でIT導入が進んでいます。そのような中、「マルウェア」と呼ばれる感染プログラムなどを用いたサイバー攻撃は年々増加しており、中小企業においても適切なセキュリティ対策が求められています。今回は情報セキュリティ対策に役立つ情報をお届けします。
【目次】
1.「SECURITY ACTION(セキュリティアクション)制度」とは
2.情報セキュリティ対策ガイドラインを活用する
3. 今回のまとめ
「SECURITY ACTION(セキュリティアクション)制度」とは
中小企業のセキュリティ対策については、中小企業庁のサイト内でも取り上げられています。IPA(経済産業省所管の独立行政法人情報処理推進機構)による「2021年度中小企業における情報セキュリティ対策実態調査」によると、コンビュ-タウイルスや不正アクセス、標的型攻撃や情報漏えい等の情報セキュリティに対して半数以上の企業が脅威を感じているにも関わらず、組織的に体制を整えていないという企業の割合が最も多く、個人情報漏えいやサイバ-攻撃に備える保険に加入している企業はわずか8~9%に留まっており、内容を知らないため加入もしていないという回答が最も多いという非常に危険な結果が出ています。中小企業庁では、新たに情報化に取り組む企業やセキュリティ対策への取り組みが遅れていた企業にとって、何から手をつければよいのかわからない「情報セキュリティ対策」について、優先順位の高い項目から順に取り組むための「SECURITY ACTION(セキュリティアクション)制度」を紹介しています。
≪「SECURITY ACTION(セキュリティアクション)制度とは≫
「SECURITY ACTION」は中小企業自らが、安全・安心なIT社会を実現するために創設された情報セキュリティ対策に取組むことを自己宣言するIPA(独立行政法人情報処理推進機構)が実施している制度です。
◆SECURITY ACTIONの進め方
①取組み目標を決める
取組み目標に応じて「一つ星」と「二つ星」のロゴマークを使用できます。
・「一つ星」ロゴマークを使用するには
中小企業の情報セキュリティ対策ガイドライン付録の「情報セキュリティ5か条」(https://www.ipa.go.jp/files/000055516.pdf)に取り組む
※すでに同等の取組みができている場合は二つ星から始める
・「二つ星」ロゴマークを使用するには
中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」(https://www.ipa.go.jp/files/000055848.pdf)で自社の状況を把握し、情報セキュリティポリシー(基本方針)を定めて外部に公開する
②自己宣言する
名刺・封筒・会社案内・ウェブサイト等にSECURITY ACTIONロゴマークを表示し、取組みをアピールする
※取組みを宣言している中小企業等としてSECURITY ACTIONのウェブサイトに掲載されます。
③ステップアップする
「一つ星」から始めた場合は「二つ星」へ、「二つ星」から始めた場合は情報セキュリティポリシーの策定およびポリシーの継続的な見直しによる新たな脅威等への対応を実施する
※SECURITY ACTIONロゴマークの使用申し込みは、IPAサイト内にて行うことができます。
IPAが情報セキュリティ対策状況等を認定する、というものではありません。自社のホームペ-ジ等において公表する場合は誤認されることのない表現(認定を受けた×⇒宣言した○)を用いる必要があります。早速取り組んでみてはいかがでしょうか?
情報セキュリティ対策ガイドラインを活用する
「中小企業の情報セキュリティガイドライン」の中では経営者に向け、
・情報セキュリティ対策を怠ることで企業が被る不利益
・経営者が負う責任
・経営者がすべきこと
について言及しています。
情報を安全に管理することの重要性と重要な情報を漏えい・改ざん・消失などの脅威から守るための情報セキュリティ対策の考え方を再確認するために一部をご紹介します。
≪情報セキュリティ対策を怠ることで企業が被る不利益≫
情報セキュリティ対策を実施し、対外的にアピ-ルすることで信頼性を確保し安定的に売り上げを伸ばすことが出来る反面、情報セキュリティ対策を疎かにして秘密情報や個人情報漏えいを発生させることになれば、顧客や取引先からの信用を失うだけでなく、高額な賠償金の支払いなど経営にとっての大きなダメ-ジとなる
≪経営者が負う責任≫
金銭や物品だけでなく「情報」にも価値や権利が認められているため、個人情報保護法における「事業者に対する権利利益の保護」「安全管理措置などの管理監督義務」違反として罰金刑が科されるだけでなく、取締役や監査役には会社法上の「忠実義務違反」責任を問われる場合もある
≪経営者がすべきこと≫
企業の継続的発展、また経営責任を果たすために担当者に任せきりにするのではなく経営者が自社の情報セキュリティについて明確な方針を示すとともに自ら実行する(経営者が主導し関係者と連携して組織的に実施する)
※IPA「中小企業の情報セキュリティガイドライン」より
今回のまとめ
10年程前までは、情報漏えいといえば「書類の紛失」や「メールの誤送信」等に伴うものが殆んどでしたが、現在は「Emotet」やECサイトがハッキングされ情報が抜き取られるといった様々なサイバ-攻撃による被害が発生しており、今後も増加し続けると言われています。個人情報保護法の改正により、現在はサイバ-攻撃を受けた場合に個人情報保護委員会への速やかな報告が義務付けられています。また、サイバ-攻撃による情報漏えいの有無や感染経路、被害範囲等を調査するためには高額な費用がかかります。最近では、調査会社からサイバ-保険加入の有無を確認され、未加入の場合は後回しにされたり断られる、といったケ-スもでてきているようです。被害を受けたにもかかわらず、自費で調査費用を負担しなければならない理不尽なサイバ-リスクには、損害保険で備えることができます。サイバ-リスクやその対策について気になる方は、お近くの保険代理店までお気軽にご相談ください。
損害保険のことなら株式会社保険ポイントへぜひご相談ください。
TEL>052-684-7638
お電話、メールどちらでもお待ちしております。