6.3 経営者がすべき取り組み
IT管理者は経営者に対し、セキュリティ対策を率先して実施するよう依頼や働きかけをすることが大切です。
また経営者は以下の3原則を認識し、7つの重要項目を自ら実践する、あるいは社内の責任者・担当者に対して指示する必要があります。
●認識すべき「3原則」
① 情報セキュリティ対策は経営者の統括により進める
経営者は、ITを活用する中で、情報セキュリティ対策の重要性を認識し、自らの統括で対策を進めます。社員は利便性の低下や面倒な作業などを伴う対策には抵抗感を示しがちです。
そのためセキュリティ対策は、経営者の判断による意思決定のもと、自社の事業に見合った情報セキュリティ対策の実施を主導します。
② 委託先の情報セキュリティ対策まで考慮する
業務を外部委託するにあたって重要な情報を委託先に提供する場合、先方がどのような情報セキュリティ対策を行っているか考慮する必要があります。提供した情報の漏洩・改竄などが起きたときは、先方の不備が原因であっても、委託元としての管理責任が問われます。そのため、委託先や協業先などの情報セキュリティ対策も、自社同様に十分な注意が必要です。
また受託をしている場合は、委託元の要求に応じなければいけません。
③ 関係者とは常に情報セキュリティについてコミュニケーションをとる
顧客・取引先・委託先・利用者など、関係者からの信頼を高めるには、普段から自社の情報セキュリティ対策や事故対応について分かりやすく説明ができるよう、経営者自身が理解し整理しておくことが重要です。
情報セキュリティに関する取り組み方針を関係者に伝えておくことで、サイバー攻撃やウイルス感染、情報漏洩などの有事が発生した際にも説明責任を果たすことができます。これにより、必要以上の不安を与えることなく、信頼関係を維持することができます。
●実行すべき「重要7項目の取り組み」
① 情報セキュリティに関する組織全体の対応方針の決定
情報セキュリティ対策を組織的に実施する意思を社員や関係者に明確に示すために、自社に適した情報セキュリティに関する基本方針を決定し周知します。自社の経営において最大の懸念事項は何かを明確にすることで具体的な対策を促し、組織方針を立てやすくなります。
② 情報セキュリティ対策のための予算や人材などの確保
情報セキュリティ対策を実施するための必要な予算と担当者を確保します。これには、事故の発生防止だけでなく、事故が起きてしまった際の被害の拡大防止や復旧対応も含みます。情報セキュリティ対策には高度な技術が必要なため、専門業者への外部委託も検討します。
③ 必要な対策の検討と実行を指示
懸念される事態に関連する情報や業務を整理し、リスクを把握した上で、管理者に対策を検討させます。必要な対策には予算を組み、実行を指示します。実施する対策は社内ルールとして文書にまとめておけば社員も実行しやすくなり、関係者などにも取り組みを説明する際に役立つため、併せて指示します。指示した情報セキュリティ対策の実施状況を、月次や四半期ごとなどに適宜報告させ、進捗や効果を把握します。
④ 情報セキュリティ対策の適宜見直しを指示
取組③にて指示した情報セキュリティ対策について実施状況を点検させ、取組①にて決定した方針に沿っているか評価を行います。また、業務の変化などを踏まえた基本方針の見直しもその都度行い、致命的な被害を防ぐための対策の追加や改善などを行うよう、管理者に指示します。
⑤ 緊急時の対応や復旧のための体制の整備
緊急時の対応体制を整備します。事故原因の速やかな特定により被害の拡大を防ぐ体制を作るとともに、的確な復旧手順を作成しておくことで、緊急時に適切な指示を出すことができます。整備後は予定通り機能するか確認するため、事故発生を想定した訓練を行うと、意識づけや適切な対応のために効果的です。
⑥ 委託・外部サービス利用時のセキュリティに関する責任の明確化
業務の一部を外部委託する場合は、委託先で自社と同等の対策が行われなければなりません。そのためには契約書に情報セキュリティに関する委託先の責任や実施すべき対策を明記し、合意する必要があります。
ITシステムに詳しい人材がいない場合、自社でシステムの構築や運用をするよりも、専門業者に依頼したほうがコストの面で有利な場合があります。しかし安易な利用はせず、利用規約や情報セキュリティ対策などを十分に検討するよう管理者に指示しましょう。
⑦ 情報セキュリティに関する最新動向の収集
情報技術の進化は速く、対策の最新動向は常に変化します。自社だけで把握することは困難なため、情報セキュリティ対策について最新動向を発信している公的機関などを把握しておき、常時参照しつつ備えるよう管理者に指示します。このほか、他社も交えたコミュニティへの参加などで情報収集を積極的に行い、関係者と共有します。
