2017年03月17日

情報セキュリティと中小企業経営者

企業を狙うサイバー攻撃の増加止まない中、企業の機密情報や個人情報を不正利用され、被害企業が大きなダメージを被る事件が多発しています。
中でも、比較的情報セキュリティが甘い中小企業を狙ったサイバー攻撃が標的となってきています。
中小企業がサイバー攻撃被害に遭ってもニュース媒体で報道されることはほとんどなく、静かに被害が拡大してきています。
経営者は多くの課題に日々直面していますが、情報セキュリティ対策という課題はもう待ったなしです。

中小企業経営者が取り組むべき重要な3つの情報セキュリティ対策
  • (1)経営者自らが情報セキュリティリスクを強く認識しリーダーシップを取って対策を推進する。
  • (2)自社だけではなく、関連会社、取引先、委託先を含めた対策を行う。
  • (3)情報セキュリティ事故や新たな課題が速やかに経営者に報告が上がってくる体制作り。
  • それでは、経営者が取り組むべき3つの情報セキュリティ対策について具体的に見て行きましょう。

    経営者自らが情報セキュリティリスクを強く認識しリーダーシップを取って対策を推進する。

    歴史が長い企業ほど、情報セキュリティ対策が遅れている傾向があります。
    その理由として、情報セキュリティは新しいリスクだからだと考えられます。
    資金や生産、営業、事業継続等のリスクは遠い過去から対策が進められていますが、こと情報セキュリティに関しては目に見えるリスクではないために置き去りとなっている傾向が強いようです。
    しかし、サイバー攻撃被害は経営に甚大な影響を及ぼす可能性があることを認識し、経営者が強いリーダーシップで対策を推進していく必要があります。
    社員任せでは根本的な大差kうが期待できないと考えなければなりません。
    まずは、情報セキュリティ対策を経営課題と位置づけ、情報セキュリティ担当者を任命し、権限と責任を与えることから始めましょう。
    機密情報や個人情報の取り扱いに関するルール(社内規定)、社員教育、ルールの運用、見直しのサイクルを最低でも1年単位で回す体制を構築し、情報セキュリティ事故や脅威があれば速やかに経営者に報告が上がる体制を構築しましょう。

    自社だけではなく、関連会社、取引先、委託先を含めた対策を行う。

    関連会社で情報漏えい事故が発生した場合、自社にもその被害や影響が及びます。
    また、機密情報や個人情報の取り扱いを委託している場合、委託先で事故が発生した時には自社の責任が問われます。
    事故の原因に個人情報保護法等の法令違反が自社にあったと認められ他場合は行政責任を負うことにもなってしまいます。
    そのため、関連会社、取引先、委託先と連携した情報セキュリティ対策が必要となります。
    それらの事業者とのコミュニケーションを密にし、共に情報セキュリティレベルを向上させる取り組みを行いましょう。

    情報セキュリティ事故や新たな課題が速やかに経営者に報告が上がってくる体制作り。

    ルールに違反した場合の処罰だけでは、機密情報や個人情報を実際に取り扱う従業員の情報セキュリティに対する意識は向上しません。
    軽微な事象や新たな課題提起や提案などの報告を奨励する仕組み作りが重要です。
    日常業務の中で起きる情報セキュリティの脅威は日々変化しており、新たな脅威も次々に発生するものです。
    それらに対応するには、情報セキュリティに関する経営者と従業員との風通しのよいコミュニケーションしかありません。
    情報セキュリティ対策の基本は”人”だからです。
    また、関連会社や取引先、委託先とも情報セキュリティに関するコミュニケーションをとり、互いの課題を共有し共にその課題を回避する体制を構築していくことが重要です。

    以上、「情報セキュリティを中小企業経営者」と題して解説してきました。
    まだまだ書くべきことがありますので、今後もこの続編をお届けしますね。