経営者の責任と役割
第1部では経営者の責任と役割について明記されています。
ここでは法律の順守をメインとしたコンプライアンス、そして利害関係者(ステークホルダー)とのコミュニケーションを円滑にすることについて注記され、現在実施している対策の不足を知ることができるようになっています。
「情報管理が不適切な場合の処罰など」という表が用意されているのですが、実際には事故が発生した場合の安全管理についての処罰が書かれています。情報セキュリティはコストだと考えられ、事故が起きなければ問題ないと考えている経営者に対して、万が一の事故発生時にどのような影響があるのかを明確にするーーそんな使い方が期待できます。
情報セキュリティ事故に関するニュースなどを見ていると、顧客に支払った見舞金の額ばかりが注目されてしまいますが、経営陣が引責辞任している場合などもあり、経営への影響なども考慮してもらえるのではないでしょうか。
また、責任を果すために必要な原則として3つの項目が記載されています。
- 情報セキュリティ対策は経営者のリーダーシップで進める
- 委託先の情報セキュリティ対策まで考慮する
- 関係者との情報セキュリティに関するコミュニケーションはどんなときにも怠らない
この3つの原則は、サイバーセキュリティ経営ガイドラインに記載されたものをシンプルに書いたもので、内容は変わっていません。
さらに、これらを全うするための取り組みとして7つの項目も記載されています。
- 情報セキュリティに関する、組織全体の対応方針を定める
- 情報セキュリティ対策のための資源(予算、人材など)を確保する
- 担当者に必要と考えられる対策を検討させて実行を指示する
- 情報セキュリティ対策に関する定期・随時の見直しを行う
- 業務委託や外部サービスを利用する場合は、情報セキュリティに関する責任範囲を明確にする
- 情報セキュリティに関する最新動向を収集する
- 緊急時の社内外の連絡先や被害発生時の対処について準備しておく
経営者向けの内容として書かれていますが、実際に経営陣がするのは1〜3で、4〜7は担当者への指示ということになります。本ガイドラインには具体的なそれぞれの項目について書かれていますので、各社に合わせた内容で検討するのが良いでしょう。
本ガイドラインの使い方
第2部の実践編では、ガイドラインの使い方が明確になっています。
そして最低限のセキュリティ対策として、5か条が提案されています。
- OSやソフトウェアは常に最新の状態にしよう
- ウイルス対策ソフトを導入しよう
- パスワードを強化しよう
- 共有設定を見直そう
- 脅威や攻撃の手口を知ろう
ここに記載されている5つの対策はどれも比較的安価にできる最低限のセキュリティ対策です。しかし、これらを実践している事実を知り証明することーー。つまり経営者が「われわれはこれらの対策を確実に実行している」と言うのが難しい内容かもしれません。
情報セキュリティ対策を実施していることを明確にする、つまり「説明責任を果すにはどうすべきかを考えて対策をしなければ、結果として対策をしていなかったのと同じ」と言われないように、計画をし、実施することが重要です。
