「中小企業の情報セキュリティ対策ガイドライン」を刷新、公開
2016年11月18日
省庁・団体名
独立行政法人情報処理推進機構(IPA)
概要
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)セキュリティセンターは、中小企業の経営者・情報資産管理者やIT担当者が、情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順等を示した「中小企業の情報セキュリティ対策ガイドライン(第2版)」を公開しました。
内容
近年、企業の情報資産(*1)は狙われており、標的型攻撃や内部不正等による情報漏えい、ひいては金銭窃取、業務妨害などのリスクにさらされています。中小企業も顧客や取引先に関する情報を保有しており、他人事ではありません。個人情報保護法改正に伴い、企業に求められる法的責任も増しており、情報セキュリティはいまや中小企業にとっても重要な経営課題です。
IPAは2016年3月に中小企業の情報セキュリティの調査を公開(*2)しています。対策を向上させるのに必要なこととして最多だったのは、「経営者への情報セキュリティ意識向上」(57%)でした。その一方で、「情報セキュリティ担当者を任命していない」と回答した経営者が56%にのぼりました。また「情報セキュリティに関する相談先がない」(47%)という実務担当者の悩みも伺えました。
このような背景を受けて、IPAは「中小企業の情報セキュリティ対策ガイドライン」を7年ぶりに改訂、刷新しました。今回の主な改訂は、情報セキュリティ対策において最も重要な意思決定者である経営者が情報セキュリティの重要性を自ら認識するための「経営者編」を新設したこと、また旧版のガイドラインを専門的知識がない実務担当者にも実践できるよう具体的に手順を記した「管理実践編」に改編したこと、さらに対策の実践に必要な各種ひな型を「付録」に追加したことです。実践すべき内容には、スマートフォン、タブレットなどのモバイル端末や、クラウドサービス、マイナンバーといったIT環境の変化や法整備にも対応しました。
表1.「中小企業の情報セキュリティ対策ガイドライン(第2版)」の構成と改訂のポイント
| 構成 | 改訂種別 | 改訂のポイント |
|---|---|---|
| 経営者編 | 新設 | “経営者がなぜ情報セキュリティに取り組む必要があるのか”に力点を置き、取り組まない場合の経営面の影響、法的・道義的責任について解説。経営者が認識すべき「3原則」、経営者として取り組むべき「重要7項目の取組」を記載 |
| 管理実践編 | 改編 | 専門知識のない実務者や経営者自らも取り組めるように、図表を多用しながら、情報セキュリティ対策の具体的な導入手順から、課題の改善手順を記載 |
| 付録 | 追加 | 管理実践編への取り組みを容易なものとするためのツール・資料などで構成 |
中小企業において、情報セキュリティの向上には経営者の関与と役割が非常に重要です。そのため、今後IPAとしては本ガイドラインの冊子化を行い、広範な普及に取り組む予定です。冊子化にあたってひな型などの付録はCD-ROMに格納・添付し、使いやすさの向上を図ります。
また、この普及活動にあたっては、中小企業との関わりの強い商工団体や士業の団体、IT関連団体などとの協力・連携により、全国各地のセミナーの開催などを通じて推進していく予定です。
脚注
(*1) 人事情報、顧客・取引情報、財務情報、技術情報など、企業経営の過程で生成される情報で、コンピュータ等に保存、保管されるものも多い
(*2) 「2015年度 中小企業における情報セキュリティ対策に関する実態調査」報告書(2016年3月8日公開)
全国の中小企業に勤務する3,952人(内訳:経営層838人、IT等担当者1,157人、一般社員1,957人)に
ウェブアンケート調査を実施(http://www.ipa.go.jp/security/fy27/reports/sme/index.html)
プレスリリースのダウンロード
お問い合わせ
IPA 技術本部 セキュリティセンター 普及グループ 横山/江島
Tel: 03-5978-7508 Fax: 03-5978-7546