ITC中部 理事 ブランドデザイン委員会副委員長 上島 茂明
経済産業省が独立行政法人情報処理推進機構(IPA)とともにサイバー攻撃対策向上を目的にまとめた経営者向けガイドラインが平成27年12月28日に公表されています。
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html
(同サイトよりサイバーセキュリティー経営ガイドラインがPDFでダウンロードできます)
同書にはサイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部に指示すべき「重要10項目」がまとめられています。
サイバー攻撃と聞くと官公庁や大手企業がターゲットと思われますが、中小企業への攻撃事例も多く報告されています。
例えば、昨年度は、①ホテルへの攻撃で顧客情報流失、②HPへの不正アクセスによる情報流出、③通販サイトへの攻撃によるクレジット情報の流出等、報道されたものを拾うだけでも様々な事例が出てきます。
是非、他人毎と思わずに、経営課題としてセキュリティー対策に取り組んでいただきたいと思います。
同ガイドラインの経営者が認識する必要がある「3原則」には、以下の様に記載されています。
(1)セキュリティー投資に対するリターンの算出はほぼ不可能であり、セキュリティー投資をしようという話は積極的に上がりにくい。このため、サイバー攻撃のリスクをどの程度受容するのか、セキュリティー投資をどこまでやるのか、経営者がリーダーシップを とって対策を推進しなければ、企業に影響を与えるリスクが見過ごされてしまう。
(2)子会社で発生した問題はもちろんのこと、自社から生産の委託先などの外部に提供した情報がサイバー攻撃により流出してしまうことも大きなリスク要因となる。
このため、自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティー対策が必要である。
(3)ステークホルダー(顧客や株主等)の信頼感を高めるとともに、サイバー攻撃を受けた場合の不信感を抑えるため、平時からのセキュリティー対策に関する情報開示など、関係者との適切なコミ ュニケーションが必要である。
【参考URL】
1.情報処理推進機構(IPA)
http://www.ipa.go.jp/security/index.html
2.経済産業省(ニュースリリース)
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html
以上
