また、重要10項目は、より具体的にとるべき手段について説明してあり、経営者とセキュリティ担当者との橋渡し役になることを求めています。経営者層がCISOに指示すべき項目は、下記のとおりです。
- セキュリティポリシーの策定
- 適切な管理体制の構築と責任の明確化
- 守るべき資産の特定、セキュリティリスクの洗い出し及びリスクへの対処計画の策定
- PDCAの実施
- 系列企業やビジネスパートナーによるPDCAの運用
- 必要な予算の確保及び人材育成
- 自社の技術力や効率性を鑑み、自組織で対応する部分と他組織に委託する部分との適切な切り分け
- 情報共有活動への参加及び貢献
- 緊急時の対応体制の整備及び演習の実施
- 被害発覚後の通知先及び開示が必要な情報項目の整理
本ガイドラインは法的拘束力がある訳ではないものの、日本政府から民間企業への期待値が示されたものとして重みを持っており、民間企業における積極的な行動が期待されます。
ガイドラインの発表のタイミングは、日本企業が自らの価値を急速に理解するようになってきたこととも一致しています。
日本年金機構の事件後、2016年1月からのマイナンバー制度の開始を間近に控え、中小企業を含むすべての企業が日本居住者に関する個人情報をこれまで以上に多く保持することとなっていたこともあり、 改正個人情報保護法が2015年9月に成立、個人情報を保護し、漏えいを防ぐためのセキュリティ措置が全企業に求められるようになりました。
こうした社会的、文化的背景から、日本企業の間ではサイバーセキュリティの強化の必要性が一層認識されるようになり、変革の土台が築かれています。
後編に続く
- 松原 実穗子
- パロアルトネットワークス株式会社 最高セキュリティ責任者(CSO)。防衛省で9年間勤務後、米国大学院にて国際関係・国際経済学の修士号を取得。その後、ハワイのシンクタンクにて、地政学的な観点でサイバーセキュリティ問題に取り組む。 日本に帰国後は民間企業に移り、政策を中心としたセキュリティの責任者を務める。これまで日本政府の情報セキュリティ戦略に関わる委員会の一員としても選定されている。