IPA(独立行政法人 情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」にそって、情報セキュリティ対策を進めます。
情報セキュリティ対策には、経営判断が必要になります。情報セキュリティのリスクと会社の利益との間には密接な関係があるからです。
情報セキュリティのリスクと会社の利益については、対策を進めるうちに分かってくるかと思います。
中小企業の情報セキュリティ対策のポイントは、次の2点です。
- 情報セキュリティは経営者が認識し自ら考えなければならないこと
- 経営者がやらなければならないこと:認識すべき3原則と実行すべき7項目
情報セキュリティは経営者が認識し自ら考えなければならないこと
今や経営者や責任者が「情報セキュリティなんて分からない。」と言ってすむ時代ではないことを前提に話をすすめます。
まず、情報セキュリティ対策を始めるに当たり、経営者や情報セキュリティの責任者が認識し、自ら考えなければならないことについて説明します。
対象となるのは、
- 会社にとって重要な情報の情報セキュリティ対策
です。
会社にとって重要かどうかの判断は、当たり前のことですが、経営者しかできません。
つまり優先して対策をしなければならない、会社にとって重要な情報のセキュリティ対策は、経営者の判断なくしては検討さえも進まないということです。
経営者は、会社(事業)を継続すること、そのために利益を得ています。(経営者ではない私が言うのでは説得力がありませんが、経営者にとって利益を得ることは、目標ではなく義務であると考えています。)
情報セキュリティ対策には、お金のかからないこともありますが、大抵はお金がかかります。つまり、情報セキュリティ対策を進めるということは、会社の利益に大きな影響を与えるということです。
とはいえ、情報セキュリティ対策が具体的にイメージできなくては、何にどれだけの予算が必要となるかも分かりません。
そこで、
会社にとって重要な情報セキュリティ対策について、経営者が認識し、自らの責任で考えなければならないこと
について、
- 情報を安全に管理することの重要性を認識すること
- 会社にとって重要な情報を漏えい(流出)、改ざん、消失(紛失)などから守るための情報セキュリティ対策の考え方
- 情報セキュリティ対策への段階的な取り組み方
について次の「経営者が認識すべき3原則」を説明します。
- 情報セキュリティによる損害(不利益)
- 情報セキュリティに関する経営者の責任
- 経営者がやらなければならないこと
次項で情報セキュリティによる損害や法的責任について説明していきますが、情報セキュリティ対策の必要なことは分かっている、経営者として何をすればよいのか知りたい場合には、「経営者がやらなければならないこと」にお進みください。
情報セキュリティによる損害(不利益)
次の様な情報漏えい(流出)のニュースを聞くことも珍しくはなくなりました。
- 秘密情報や個人情報の漏えい(流出)
- 対外的な信用度の低下、業績の落ち込み、巨額の賠償金など
経営者にとって情報セキュリティ事故は、経営に大きな影響を与えることであり、情報セキュリティ対策が重要だということは、すでに自明のことと考えています。
情報セキュリティ対策を実施することで企業としての信頼性をアピールすることができ売上(利益)を伸ばしている企業もあります。
中小企業が、対外的に「情報セキュリティ対策をしていない。」とはさすがに言えないでしょうし、かと言って大企業の様に情報セキュリティ担当部署がある訳でもなく、1人情シスの現状もある中で、経営者にとっても情報セキュリティ対策は悩ましい問題の1つです。
情報セキュリティ事故の原因は様々ですが、
- 情報セキュリティ対策が実施されていなかったために、秘密情報や個人情報の流出を防げなかった。
という例は少なくないようです。
前置きが長くなりましたが、
- 情報セキュリティ対策が不十分なために起きる情報セキュリティ事故
- 事故による主な損害(不利益)
について説明します。
経営者の情報セキュリティ対策のはじめの一歩として、まずは、自社で以下の様な事態となった場合にどうなるのか考えてみてください。
ある事態となった場合に、いきなり具体策を考えたり作るのではなく、様々な視点でどうなるかを考えてみることがポイントです。
金銭の損失
お客様から預かった機密情報(図面や仕様書など)や個人情報(顧客情報)を漏えい(流出)や紛失してしまった場合には、お客様から損害賠償請求を受けるなど経済的損失を受けることになります。
損害賠償だけでなく、不正送金やクレジットカードの不正利用などによる直接的な損失とな場合もあります。
顧客の喪失
重要な情報に関するセキュリティ事故を起こしてしまうと、原因が何であれ、管理責任を問われ、社会的評価(信頼やブランドイメージ)を低下させてしまいます。
顧客から見れば、類似の製品やサービスが他社にあれば、セキュリティ事故を起こした会社を避け、他の会社を選ぶようになります。
さらに、失った社会的評価(信頼やブランドイメージ)を回復するためには、多大な努力(労力)と長い時間を必要です。事業の存続そのものに影響が出る場合もあります。
業務の中断、停滞
日常業務で使用している基幹システムに事故が発生すると、原因調査や被害の拡大防止のため、運用中の情報システム(基幹システム、Webサーバー、メールなど)を停止させたり、インターネット接続を遮断することもあります。
その結果、電子メールが使えない、Webサービスによる問い合わせや受注に対応できなくなるなど、業務が中断し、納期遅延や営業機会(受注機会)の損失が生じるなど、事業全体に影響が出てしまいます。
コンピュータウィルスにより、復旧まで基幹システムが使えなくなることや、重要なデータの損傷につながることもあります。
従業員への影響
次の様な状態が放置されると従業員への悪影響が出てきます。
- 情報システムの権限(アクセス権、IDやパスワード)を悪用できる。
- 社内で不正(内部不正)ができる。
次の様な例があります。
- 出張精算は、システムの申請と伝票による申請の両方で処理できる社内ルールであったが、経理で役職者の出張精算のチェックをしていなかったため、出張旅費を二重に請求・受領する役職者がいた。
- 役職者が海外のグループ会社に空出張をしていた。役職者が海外出張時に急用のため部下が連絡を取ろうとしたところ、グループ会社に行っていないことが発覚した。
次の様な場合には、自社による個別の損害よりも職場環境への悪影響の方が大きい場合さえあります。
- 情報セキュリティ事故が発生した場合、担当者のみ罰し管理職が責任をとらないため、働く意欲を失う。
- 情報漏えい(流出)事故による会社のイメージダウンによる転職者の増加。
- 従業員の個人情報が適切に保護されず、訴訟を起こされる。
情報セキュリティに関する経営者の責任
情報はモノと違い形がありませんが、様々な価値や権利があり、情報を守る法律もあります。
例えば、ダイレクトメール(紙、電子メール)を勝手に送信してはいけません。
個人情報保護法は、事業者に対して個人の権利利益の保護、安全管理措置などの管理監督が義務付けられ、依願すれば罰金刑があります。
さらに、取締役や監査役は、別に会社法上の忠実義務違反の責任を問われることもあります。
ここでは、経営者の法的責任と社会的責任について説明します。
経営者などに問われる法的責任
個人情報などの法的な管理義務がある情報を適切に管理していなかった場合には、経営者や役員、担当者は下表の様な刑事罰を含む責任を問われます。
知らない、知らなかったではすまない、すまされないということです。
- 例1:個人情報やマイナーバーに関する違反は、
- 刑事罰になるおそれがあります。
- 個人情報保護委員会による立入検査を受ける責任があります。
- 例2:民法上の不法行為とみなされた場合
-
- 経営者が個人として損害賠償責任を負う場合があります。
-
情報管理が不適切な場合の処罰について、以下に示します。
個人情報保護法
法律名:個人情報の保護に関する法律
| 条 |
条項 |
処罰など |
|---|---|---|
|
40条 |
報告及び立入検査 |
委員会による立入検査、帳簿書類等の物件検査及び質問 |
|
83条 |
個人情報データベース等不正提供罪 |
1年以下の懲役又は50万円以下の罰金 |
|
84条 |
委員会からの命令に違反 |
6月以下の懲役又は30万円以下の罰金 |
|
85条 |
委員会への虚偽の報告など |
30万円以下の罰金 |
|
87条 |
両罰規定 |
従業者等が業務に関し違反行為をした場合、法人に対しても罰金刑 |
マイナンバー法(番号法)
法律名:行政手続における特定の個人を識別するための番号の利用等に関する法律
|
条 |
条項 |
処罰など |
|---|---|---|
|
48条 |
正当な理由なく特定個人情報ファイルを提供 |
4年以下の懲役若しくは200万円以下の罰金又は併料(懲役と罰金の両方) |
|
49条 |
不正な利益を図る目的で、個人番号を提供又は盗用 |
3年以下の懲役若しくは150万円以下の罰金又は併料(懲役と罰金の両方) |
|
50条 |
情報提供ネットワークシステムに関する秘密を漏えい又は盗用 |
同上 |
|
51条 |
人を欺き、人に暴行を加え、人を脅迫し、又は、財物の窃取、施設への侵入、不正アクセス等により個人番号を取得 |
3年以下の懲役又は150万円以下の罰金 |
|
53条 |
委員会からの命令に違反 |
2年以下の懲役又は50万円以下の罰金 |
|
54条 |
委員会への虚偽の報告など |
1年以下の懲役又は50万円以下の罰金 |
|
55条 |
偽りその他不正の手段により個人番号カード等を取得 |
6月以下の懲役又は50万円以下の罰金 |
|
57条 |
両罰規定 |
従業者等が業務に関し違反行為をした場合、法人に対しても罰金刑 |
不正競争防止法
法律名:営業秘密・限定提供データに係る不正行為の防止など
|
条 |
条項 |
処罰など |
|---|---|---|
|
3条 |
差止請求 |
利益を侵害された者からの侵害の停止又は予防の請求 |
|
4条 |
損害賠償請求 |
利益を侵害した者は損害を賠償する責任 |
|
14条 |
信頼回復措置請求 |
信用を害された者からの信用回復措置請求 |
金融商品取引法
法律名:インサイダー取引の規制など
|
条 |
条項 |
処罰など |
|---|---|---|
|
197条の2 |
刑事罰 |
5年以下の懲役若しくは500万円以下の罰金又はこれらの併料 |
|
207条1項2号 |
両罰規定 |
従業者等が業務に関し違反行為をした場合、法人に対しても罰金刑 |
|
198条の2 |
没収・追徴 |
犯罪行為により得た財産の必要的没収・追徴 |
|
175条 |
課徴金 |
違反者の経済的利得相当額 |
民法
|
条 |
条項 |
処罰など |
|---|---|---|
|
709条 |
不正行為による損害賠償 |
故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う |
関係者や社会に対する責任
経営者としての責任は、法務執行機関、個人情報当事者、取引先、従業員にも及びます。
適切に管理することを前提に預かった情報を漏えい(流出)させた場合には、
- 法的責任
に加え、
- その情報の提供者やお客様などの関係者に対する責任
を問われます。
また、情報漏えい(流出)事故は、営業機会の損失、売上の減少、企業イメージのダウンなどの損失もあり、会社役員が会社法上の責任(会社に対する損害賠償責任)を問われることになり、株主代表訴訟になることもあり得ます。
他にも、取引先との信頼関係の喪失やイメージダウンにもつながります。
補足:個人情報保護法
個人情報保護法は、企業や団体に個人情報をきちんと大切に取り扱ったうえで、 有効に活用できるよう共通のルールを定めた法律です。
会社で取り扱う個人情報は、「氏名」、「生年月日」、「連絡先(住所・ 電話番号・メールアドレス)」や「顔写真」など様々です。
従業員情報や取引先の名刺も個人情報に当たります。従業員名簿やメールのアドレス帳などを作成している事業者は、保有する個人情報が少なくても、個人情報取扱事業者(個人情報データベース等を事業の用に供している者) となり、この法律が適用されます。
なお、個人情報保護法第1条には「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。」とあります。これは、個人情報保護とは、企業が被る損害の防止だけではなく、個人の人格的、財産的な権利利益に対する侵害防止を目的としていることに留意する必要があるということです。
個人情報保護法についての詳細は個人情報保護委員会のウェブサイトを確認してください。
●個人情報保護委員会のウェブサイト <https://www.ppc.go.jp/>
参考:不正競争防止法
企業が持つ営業情報や技術情報などの中には、秘密とすることで差別化や競争力 の源泉となる情報もあります。
そのような情報が漏えいすると、研究開発投資の回収機会を失ったり、社会的な信用の低下により顧客を失ったりと大きな損失を被ることになります。
秘密としている情報を不正競争防止法により営業秘密として法的保護を受けるためには、次の3つの要件をすべて満たす必要があります。
- 秘密として管理されていること(秘密管理性)
- 生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であること(有用性)
- 公然と知られていないこと(非公知性)
経営者がやらなければならないこと(※ここがポイント)
ここまでの説明は、「情報セキュリティ対策が必要ですよ」ということ説明するための説明です。
ここから経営者がやらなければならないことについて説明します。
会社を継続させ、経営責任を果たすためには、
- 担当者に任せきりに(丸投げ)することなく、
- 経営者が自社の情報セキュリティに対して明確な方針を示し、
- 自ら実行する。
ことが必要です。
上記が必要な理由は、情報セキュリティ対策は、情報セキュリティの責任、担当者、社員や予算により大きな影響をうけるためです。
このため、情報セキュリティ対策は、経営者が主導し、必要な範囲を網羅し、関係者と連携して組織的に実施しなければ機能しないのです。
経営者は、これらを認識したうえで、情報セキュリティ対策の取組みを担当者に指示する必要があります。
以下、情報セキュリティにおける経営者の役割、やらなければならないことについて説明します。
認識すべき「3原則」
経営者は、以下の3原則を認識し、情報セキュリティ対策を進めます。
原則1:情報セキュリティ対策は、経営者のリーダーシップで進める
経営者は、IT活用を推進すると共に、情報セキュリティの重要性を自ら認識し、リーダーシップを発揮して対策を進めます。
従業員は、安心して仕事ができる環境を求めますが、利便性が低下したり、面倒な作業が伴う対策には抵抗感を示しがちで、変化を嫌います。
このため、情報セキュリティ対策は、経営者が自ら判断して意思決定し、自社の事業に見合った情報セキュリティ対策の実施を進めます。
参考:情報セキュリティガバナンス
情報セキュリティガバナンスは、経営者が企業戦略として情報セキュリティ向上に取り組むための枠組みです。
この枠組みは、経営者が懸念する避けるべき重大事故などを示して「方向付け」を行い、対策の進捗や点検等により状況を「モニタリング」し、その効果を「評価」して方向付けを見直すサイクルを骨格としています。 経営者がリーダーシップを発揮する枠組みでもあります。
原則2:委託先の情報セキュリティ対策まで考慮する
当たり前のことなのですが、業務の一部を外部委託する際、重要な情報を委託先に提供する場合、委託先がどのような情報セキュリティ対策を実施しているか考慮する必要があります。
例えば、「重要な情報」について、委託先と具体的かつ明確な合意が必要です。
委託先に提供した情報が漏えい(流出)したり、改ざんされた場合に、それが委託先の不備だったとしても、事故の影響を受ける者から委託元としての管理責任を問われます。
そのため、委託先や、共同で仕事を行っているビジネスパートナーなどの情報セキュリティ対策に関しても、自社同様に十分な注意を払うことが必要です。
また、受託している場合には、委託元の要求に応じることになります。
委託先には、自社と同等か必要に応じそれ以上の情報セキュリティ対策を求めます。
委託先のレベルではできないからといって、必要な対策を求めないというのでは本末転倒です。
原則3:関係者とは常に情報セキュリティに関するコミュニケーションをとる
業務上の関係者(顧客、取引先、委託先、代理店、利用者、株主など)からの信頼を高めるためには、次の事を関係者に明確に説明できるように、普段から経営者自身が理解し、整理しておくことが重要です。
- 自社の情報セキュリティ対策
- 事故が起きたときの対応
情報セキュリティに関する取組方針を常日頃より関係者に伝えておくことで、サイバー攻撃によるウイルス感染や情報漏えいなどが発生した際にも、説明責任を果たすことができるだけでなく、必要以上の不安を与えることなく、信頼関係を維持することができます。
実行すべき「重要7項目の取組」
情報セキュリティを実際に確保するための、経営者の役割について説明します。
経営者は、以下の7つの取組について、必要に応じ自ら実践すると共に、実際に情報セキュリティ対策の活動を行う責任者・担当者に指示します。
取組1:情報セキュリティに関する組織全体の対応方針を定める
情報セキュリティ対策を会社として実施する意思を、従業員や関係者に明確に示すために、どのような情報をどのように守るかなどについて、自社に適した情報セキュリティに関する基本方針を定め、宣言します。
自社の経営において最も懸念される事態は何かを明確にすることで、具体的な対策を促し、組織としての方針を立てやすくなります。
取組2:情報セキュリティ対策のための予算や人材などを確保する
情報セキュリティ対策を実施するために、必要な予算と担当者を確保します。
これには事故の発生防止だけでなく、万が一事故が起きてしまった場合の被害の拡大防止や復旧対応も含みます。
情報セキュリティ対策には高度な技術が必要です。専門的な外部サービスの利用も検討します。
参考:専門的な外部サービス
専門的な外部サービスについてはIPAが公開している「情報セキュリティサービス基準適合サービスリスト」を活用することができます。
取組3:必要と考えられる対策を検討させて実行を指示する
懸念される事態に関連する情報や業務を整理し、損害を受ける可能性(リスク)を把握したうえで、責任者・担当者に対策を検討させます。
必要とされる対策には予算を与え、実行を指示します。
実施する対策を社内ルールとして文書にまとめておくと、従業員も実行しやすくなります。また、取引先などにも取り組みを説明する際に役に立つので、併せて指示します。
実行を指示した情報セキュリティ対策がどのように現場で実施されているかについて、月次や四半期ごとなど適切な機会をとらえて報告させ、進捗や効果を把握します。
取組4:情報セキュリティ対策に関する適宜の見直しを指示する
取組3で指示した情報セキュリティ対策について、実施状況を点検させ、取組1で定めた方針に沿って進んでいるかどうか評価します。
また、業務や顧客の期待の変化なども踏まえて基本方針なども適宜見直しを行い、致命的な被害につながらないよう、対策の 追加や改善などを行うように、責任者・担当者に指示します。
取組5:緊急時の対応や復旧のための体制を整備する
万が一に備えて、緊急時の対応体制を整備します。
被害原因を速やかに追究して被害の拡大を防ぐ体制を作るとともに、的確な復旧手順をあらかじめ作成しておくことにより、緊急時に適切な指示を出すことができます。
整備後には予定どおりに機能するかを確認するため、被害発生を想定した模擬訓練を行うと、意識づけや適切な対応のために効果的です。
経営者のふるまいについても、あらかじめ想定しておけば、冷静で的確な対応が可能になります。
取組6:委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
業務の一部を外部に委託する場合は、委託先でも少なくとも自社と同等の対策が行われるようにしなければなりません。
そのためには契約書に情報セキュリティに関する委託先の責任や実施すべき対策を明記し、合意する必要があります。
ITシステム(電子メール、ウェブサーバー、ファイルサーバー、業務アプリケーションなど)に関する技術に詳しい人材がいない場合、自社でシステムを構築・運用するよりも、外部サービスを利用したほうが、コスト面から有利な場合があります。しかし、安易に利用することは避け、利用規約や付随する情報セキュリティ対策などを十分に検討するよう担当者に指示します。
取組7:情報セキュリティに関する最新動向を収集する
情報技術の進化の早さから、実施を検討するべき対策は目まぐるしく変化します。
自社だけで把握することは困難なため、情報セキュリティに関する最新動向を発信している公的機関などを把握しておき、常時参照することで備えるように情報セキュリティ担当者に指示します。
また、知り合いやコミュニティへの参加で情報交換を積極的に行い、得られた情報について、業界団体、委託先などと共有します。
以下に、情報セキュリティに関する最新動向を発信している公的機関を紹介します。
IPA(独立行政法人情報処理推進機構)
NISC(内閣サイバーセキュリティセンター)
まとめ
今や経営者や責任者が「情報セキュリティなんて分からない」と言ってすむ時代ではありません。
IPA(独立行政法人 情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」にそって、情報セキュリティ対策を進めます。
ここでは、以下の項目について説明しました。
- 情報セキュリティは経営者が認識し自ら考えなければならないこと
- 情報セキュリティによる損害(不利益)
- 金銭の損失
- 顧客の喪失
- 業務の中断、停滞
- 従業員への影響
- 情報セキュリティに関する経営者の責任
- 経営者などに問われる法的責任個人情報保護法
- マイナンバー法(番号法)
- 不正競争防止法
- 金融商品取引法
- 民法
- 関係者や社会に対する責任
- 補足:個人情報保護法
- 参考:不正競争防止法
- 経営者などに問われる法的責任個人情報保護法
- 経営者がやらなければならないこと(※ここがポイント)
- 認識すべき「3原則」
- 原則1:情報セキュリティ対策は、経営者のリーダーシップで進める
- 原則2:委託先の情報セキュリティ対策まで考慮する
- 原則3:関係者とは常に情報セキュリティに関するコミュニケーションをとる
- 実行すべき「重要7項目の取組」
- 取組1:情報セキュリティに関する組織全体の対応方針を定める
- 取組2:情報セキュリティ対策のための予算や人材などを確保する
- 取組3:必要と考えられる対策を検討させて実行を指示する
- 取組4:情報セキュリティ対策に関する適宜の見直しを指示する
- 取組5:緊急時の対応や復旧のための体制を整備する
- 取組6:委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
- 取組7:情報セキュリティに関する最新動向を収集する
- 認識すべき「3原則」
