情報セキュリティについての自社診断と情報セキュリティ基本方針

情報セキュリティ対策に取りかかり始めたばかりでは、「情報セキュリティ方針」を定めたくても、正直なところIPAの情報セキュリティ基本方針のサンプルを読んでもよく分かりません。

方針なので、分からないからと言って決めないわけにもいきません。

そこで、まずは自社の情報セキュリティの現状（レベル）を確認するために「５分でできる！自社診断」と、情報セキュリティ基本方針について説明します。

IPAの５分でできる！自社診断

IPAの情報セキュリティ支援サイトに、「５分でできる！自社診断＆ポイント学習」があります。

自社診断の結果については、現在の実力値と考えればよいので、点数にこだわるよりも今後何をしていくか、何を優先して進めるかなどを考える際の参考にすることをお勧めします。

なお、自社診断の採点基準は下表の通りです。（2020年5月）

実際に、「５分でできる！自社診断」をやってみると、

• 自社診断をやる度に点数が変わる（同じ結果にならない）。

ことも普通にありました。

ましてや、同じ会社でも職場や立場によっても結果は変わってきて当然だと考えています。

ご参考までに、私の知る会社を想定してやってみた私の自社診断結果を紹介します。

自社診断結果の例：モノづくりメーカー

国内向けの製品を自社開発しているメーカーの同業種との比較結果の１例です。

合計点：５４／１００点

• • 実施しているの合計点：２８点
  • 一部実施しているの合計点：２６点
  • 技術部門の１人としての私の個人的な判断です。

図１　情報セキュリティの自社診断結果：モノづくりメーカーの例

自社診断結果の例：技術系の商社

自社で販売しているソフトウェアの技術サポートも提供している商社の同業種との比較結果の１例です。

合計点：９４／１００点

• • 実施しているの合計点：８８点
  • 一部実施しているの合計点：６点
  • 技術部門の１人としての私の個人的な判断です。

図２　情報セキュリティの自社診断結果：技術系商社の例

【参考】情報セキュリティ対策と自社診断項目との関係

情報セキュリティ自社診断と情報セキュリティ対策との関係について、

IPA「中小企業の情報セキュリティ対策ガイドライン　第３版」

p.19　【表４】自社診断のための25項目

から引用します。

何が重要というものでもないのですが、各対策と自社診断（情報セキュリティのポイント）との関係が分かるかと思います。

基本的対策と自社診断項目との関係

• パソコンやスマホなど情報機器のOSやソフトウェアは常に最新の状態にしていますか？
• パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にしていますか？
  • ウイルス定義ファイル：コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる。
• パスワードは破られにくい「長く」、「複雑な」パスワードを設定していますか？
• 重要情報に対する適切なアクセス制限を行っていますか？
  • 重要情報：営業秘密など、事業に必要で組織（会社）にとって価値のある情報や顧客や、従業員の個人情報など管理責任を伴う情報のこと
• 新たな脅威や攻撃の手口を知り、対策を社内共有する仕組みはできていますか？

従業員としての対策と自社診断項目との関係

• 電子メールの添付ファイルや本文中のURLリンクを介したウイルス感染に気をつけていますか？
• 電子メールやFAXの宛先の送信ミスを防ぐ取り組みを実施していますか？
• 重要情報は電子メール本文に書くのではなく、添付するファイルに書いてパスワードなどで保護していますか？
• 無線LANを安全に使うために適切な暗号化方式を設定するなどの対策をしていますか？
• インターネットを介したウイルス感染やSNSへの書き込みなどのトラブルへの対策をしていますか？
• パソコンやサーバーのウイルス感染、故障や誤操作による重要情報の消失に備えてバックアップを取得していますか？
• 紛失や盗難を防止するため、重要情報が記載された書類や電子媒体は机上に放置せず、書庫などに安全に保管していますか？
• 重要情報が記載された書類や電子媒体を持ち出す時は、盗難や紛失の対策をしていますか？
• 離席時にパソコン画面の覗き見や勝手な操作ができないようにしていますか？
• 関係者以外の事務所への立ち入りを制限していますか？
• 退社時にノートパソコンや備品を施錠保管するなど、盗難防止対策をしていますか？
• 事務所が無人になる時の施錠忘れ対策を実施していますか？
• 重要情報が記載された書類や重要なデータが保存された媒体を破棄する時は、復元できないようにしていますか？

組織（会社）としての対策と自社診断項目との関係

• 従業員に守秘義務を理解してもらい、業務上知り得た情報を外部に漏らさないなどのルールを守らせていますか？
• 従業員にセキュリティに関する教育や注意喚起を行っていますか？
• 個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確にしていますか？
• 重要情報の授受を伴う取引先との契約書には、秘密保持条項を規定していますか？
• クラウドサービスやウェブサイトの運用などで利用する外部サービスは、安全・信頼性を把握して選定していますか？
• セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか？
• 情報セキュリティ対策（上記基本的対策、従業員としての対策、及び、組織としての対策など）をルール化し、従業員に明示していますか？

情報セキュリティ基本方針

以下に、情報セキュリティ方針の例を示します。

冒頭の部分は、宣言として項目を起こしている会社もあります。

以下に情報セキュリティ基本方針の１例を示しますが、言葉が難しいと感じる方がほとんどだと思います。

まずは、特に情報セキュリティ対策を始めたばかりの時は、せめて社内向けには分かりやすい表現にした方がよいと考えています。

しかし、基本方針の文言にこだわるのは後回しにして、まずは具体的に何をするかに注力して、ある程度情報セキュリティ対策が進んでから基本方針の文言を見直すことをお勧めします。

情報セキュリティ基本方針（例）

株式会社◯◯（以下、当社という）は、当社の情報資産（お客様からお預かりした情報資産を含む）を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。 

1.経営者の責任

当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。

2.社内体制の整備

当社は、情報セキュリティの維持及び改善のために組織を設置し、情報セキュリティ対策を社内の正式な規則（内規）として定めます。

3.従業員の取組み

当社の従業員は、情報セキュリティのために必要とされる知識、技術を習得し、情報セキュリティへの取り組みを確かなものにします。

4.法令及び契約上の要求事項の遵守

当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、お客様の期待に応えます。

5.違反及び事故への対応

当社は、情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合には適切に対処し、再発防止に努めます。

---

参考：品質マネジメントシステムの７原則

参考：PDCAはPから始める？　できることをやってみるのが一番

参考：ISOは特別なこと？いいえ、会社のルールの一部です

まとめ

情報セキュリティ対策に取り組み始めたばかりでは、IPAの情報セキュリティ基本方針のサンプルを読んでも中身が分かりません。

ここでは、自社の情報セキュリティの現状を確認するため、「５分でできる！自社診断」と情報セキュリティ基本方針について、以下の項目で説明します。

• IPAの５分でできる！自社診断
  • 自社診断結果の例：モノづくりメーカー
  • 自社診断結果の例：技術系の商社
• 【参考】情報セキュリティ対策と自社診断項目との関係
  • 基本的対策と自社診断項目との関係
  • 従業員としての対策と自社診断項目との関係
  • 組織（会社）としての対策と自社診断項目との関係
• 情報セキュリティ基本方針情報セキュリティ基本方針（例）
  • 1.経営者の責任
  • 2.社内体制の整備
  • 3.従業員の取組み
  • 4.法令及び契約上の要求事項の遵守
  • 5.違反及び事故への対応