情報セキュリティ対策を次の3つに分けて進めています。
- 基本的対策:全社共通の対策です。
- 従業員としての対策:従業員が行う対策です。
- 組織としての対策:会社として実施する対策です。
基本的対策と従業員としての対策については、以下のページで説明しました。
ここでは、3つ目の組織(会社)としての対策について、具体的に何をするのかについて説明をすすめます。
情報セキュリティ対策(その3):組織(会社)としての対策
組織(会社)として実施する情報セキュリティ対策について、具体的に何をするのか決めていきます。
19.守秘義務の周知:従業員に守秘義務について理解してもらう
従業員の守秘義務や機密保持については、就業規則などで定めている場合もありますが、従業員に次のことを明確に説明します。
- どのような情報が秘密なのか
- 何をしたらいけないのか
分かりやすい言葉で具体的に説明することがポイントになります。
守秘義務は義務なので、守らなければならないことを周知、徹底することが必要です。
注意喚起(対策)を列挙します。
- 採用の際に守秘義務について説明する。
- 守秘に関する覚書を交わす。
- 秘密としている情報を具体的に示す。
20.従業員教育:従業員に情報セキュリティ教育を行う
日々の仕事では常に様々な情報を取り扱います。
例えば営業情報(顧客情報等)は、自分たちにとっては日常的であるがゆえに、重要な情報として管理しなければならないことを忘れ、情報を管理するという意識がつい疎かになりがちです。
このため、毎日の仕事で使う様々な情報の管理について、従業員に対し繰り返し意識付けを行うことが有効になります。
注意喚起(対策)を列挙します。
- 情報管理の大切さや関連する法令などを説明する。
- 定期的な研修の機会を設ける。
- 社内のことについて社外、通路やエレベータ、休憩室など部外者のいる場所で口にしないなど、繰り返し注意喚起をする。
21.私物機器の利用:個人所有端末の業務での利用可否を決める
個人所有のパソコンやスマートフォンを業務で使用する場合、管理が行き届かず、セキュリティの確保が難しくなります。
個人所有端末の業務利用の可否や業務利用のルールを明確に定めます。
注意喚起(対策)を列挙します。
- 個人所有パソコン、スマートフォンの業務利用を許可制にする。
- 業務利用する場合のルールを決める。
個人所有のパソコンやスマートフォンで情報漏えい(流出)等が発生した場合の責任の所在などを明確にしておくことが必要です。
22.取引先管理:取引先に秘密保持を要請する
取引先が情報の内容から判断して「当然秘密にしてくれるだろう」という一方的な期待は禁物です。
取引先に機密情報を提供する場合には、それを機密として取り扱って頂くことを明確にする(秘密保持契約等のルールを結ぶ)ことが必要です。
秘密保持に口約束はありえません。
情報漏えい(流出)が起きた際の責任の所在を明確にし、情報流出に備えて重要な情報を取り扱うことが必要です。
注意喚起(対策)を列挙します。
- 秘密保持や具体的な対策を明記した契約や覚書を交わす。
- 取引先を選定する場合、情報セキュリティ対応方針を公表しているかなどを考慮する。
- 取引先の情報セキュリティ対策を確認する。
23.外部サービスの利用:信頼できる外部サービスを使う
クラウドサービスなど外部サービスをコスト優先で選んでしまうと障害等でサービスが利用できなくなっても、補償を受けられない場合もあります。
外部サービスを利用する場合は、性能や信頼性、補償内容など十分に吟味しましょう。
注意喚起(対策)を列挙します。
- 事業者を選ぶ際には、利用規約や補償内容、セキュリティ対策などを確認する。
- 情報流出等のセキュリティ事故が発生した場合の対応について事前に明確にする。
24.事故への備え:事故発生に備えて事前に準備する
実際に事故が起きてからだと、冷静に対応する余裕がなくなり、気持ちばかりあせり適時適切な判断をし、必要な指示をだすのが遅れ、対応が後手に回り、それが原因でさらに深刻な事態になりがちです。
報道されるセキュリティ事故などを参考に「もし、同じことが自分の会社で起きたら・・・」を想定して、誰がいつ何をするのかをまとめておきます。
備えあれば憂いなし。情報セキュリティ事故を想定して事前検討を行い、関係者で情報や認識を共有しておきます。
注意喚起(対策)を列挙します。
- 重要情報の流出や紛失、盗難があった場合の対応手順書を作る。
- 対応手順書を、従業員に周知する。
- 情報セキュリティ事故が発生した場合の対応について実際に訓練する。
25.ルールの整備:情報セキュリティ対策をルール化する
経営者が情報セキュリティ対策に関する方針を決めていたとしても、それを具体的なルールとして明文化していなければ、従業員は都度経営者の指示を仰がなければなりません。
情報セキュリティ事故が発生してから、何をすればよいのか考えていたのでは、できることもできないのが現実です。
従業員が自らルールに従って行動できるように、「企業としてのルール」をまとめて明文化し、従業員がいつでも見られるようにしておくだけでなく、情報流出等が発生した場合には、どうすればよいのか周知、徹底させる必要があります。
注意喚起(対策)を列挙します。
- 情報セキュリティ対策として、診断シート項目のNo.1から24までをルール化して社内で共有する。
- 一度決めたルールでも問題があれば改善する。
知らないこと、経験したことのないことに対しては不安があって当たり前です。
情報セキュリティ事故とはどの様なものなのか、発生してしまった場合にはどのように対応するのか、どうすれば防げるのかなど具体的に教育・訓練をしていくことがポイントです。
まとめ
情報セキュリティ対策を次の3つに分けて進めています。
- 基本的対策:全社共通の対策
- 従業員としての対策:従業員が行う対策
- 組織としての対策:会社として実施する対策
ここでは、「組織としての対策」について、以下の項目について説明しました。
- 19.守秘義務の周知:従業員に守秘義務について理解してもらう
- 20.従業員教育:従業員に情報セキュリティ教育を行う
- 21.私物機器の利用:個人所有端末の業務での利用可否を決める
- 22.取引先管理:取引先に秘密保持を要請する
- 23.外部サービスの利用:信頼できる外部サービスを使う
- 24.事故への備え:事故発生に備えて事前に準備する
- 25.ルールの整備:情報セキュリティ対策をルール化する
