企業経営のためのサイバーセキュリティの考え方|サイバーセキュリティ.com

  1. ホーム /
  2. コラム /
  3. 企業経営のためのサイバーセキュリティの考え方
             

企業経営のためのサイバーセキュリティの考え方



2016年8月2日、内閣サイバーセキュリティセンター(NISC)から「企業経営のためのサイバーセキュリティの考え方」が発表されました。

本コラムでも紹介しましたが、2015年、経済産業省からは「サイバーセキュリティ経営ガイドライン」が発表されています。ただ、これらについてはまだまだ定着しているとは言い難いものがあります。

そこで、2016年4月に、サイバーセキュリティ戦略本部の普及啓発・人材育成専門調査会の中に、「セキュリティマインドを持った企業経営ワーキンググループ」が設置され、大急ぎで発表されたのが、この「企業経営のためのサイバーセキュリティの考え方」です。

「サイバーセキュリティ経営ガイドライン」では、“サイバーセキュリティ対策は【経営責任】である”と宣言されたことを説明しました。「企業経営のためのサイバーセキュリティの考え方」はさらに一歩進んで、“サイバーセキュリティ対策は【会社法上の義務】である”としています。

事業運営において、ITを使用しないなんて、今の時代に最早考えられないから、サイバーセキュリティの確保は内部統制上の必須事項である。だから会社法上の問題なんだ、と明言したのです。

「考え方」の基本概念とは

2つの基本認識について

サイバーセキュリティは利益を生み出し、ビジネスモデルを革新するものであり、新しい製品やサービスを創造するための戦略の一環として考えていく必要がある。

サイバーセキュリティ対策がコストとか言ってると笑われちゃうよ、ということですね。経営戦略の一環として捉えないと、新商品開発などできないじゃないか、と言っています。

全てがつながる社会において、サイバーセキュリティに取り組むことは、社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与することとなる。

サイバーセキュリティ対策をしてないと、そもそも社会から相手にされなくなるよ、ということですね。セキュリティ事故を起こして経営危機になっている会社は、もういくらでも挙げることができます。この状況で対策をしていないなど、白い眼で見られます。

3つの留意事項とは

情報発信による社会的評価の向上

ウチの会社は、こういう対策してるから、サイバーセキュリティも安心なんですよ、と情報発信をすること。サイバーセキュリティ経営ガイドラインで言う「平時からの情報開示」に通じますね。

ISMS認証や情報セキュリティ監査報告書等が方法として挙げられます。

リスクの一項目としてのサイバーセキュリティ

サイバーセキュリティも経営リスクの一つであり、経営の根幹にかかわることだという認識を持ちなさい、ということです。

特に、日本ではまだ“個人情報”にばかり意識が行っていますが、他の営業秘密も流出すれば、企業ブランドの毀損、事業継続への影響なども発生します。

きちんと経営判断項目としてサイバーセキュリティを捉えれば、他の情報流出リスクも自ずと理解できるはずです。

サプライチェーン全体でのサイバーセキュリティの確保

おそらく今の日本の商慣習では、これが一番インパクトがあるかも知れません。

何か仕事を請け負う場合、自社のみで完結することは稀です。社員やパートナーだけでなく、システム管理の委託先、例えば、クラウドに重要情報を置くのなら、そのクラウドサービスが安全であることを確保する必要があるのです。

委託したから相手の責任、とはなりません。委託するなら、「こういう理由で安全と判断した」と表明できるようにして、委託先で問題が発生したら、自社の責任として受け止めなければならないのです。

実際、システム管理会社も玉石混交です。価格や知名度だけで判断すると、とんでもないことになりかねません。「委託するのも自社責任」の認識を持ち、慎重な判断が望まれます。

さらに逆の立場になってみれば、自社のサイバーセキュリティ対策の安全性を証明できないと、受注できなくなってくるのです。安易に構えていると、自社のビジネスが激減する可能性すらあります。

おわりに

この「企業経営のためのサイバーセキュリティの考え方」もそうですが、今までコラムで解説した通り、現在国は、様々な方法を駆使して、大急ぎで日本のサイバーセキュリティ意識を変えようとしています。

この流れを無視すると、仕事の受注に支障を来すようになってきます。そのターゲットイヤーは2020年。東京オリンピックの年です。後4年、民間企業も全力でサイバーセキュリティ対策に取り組む必要があります。

皆さんも絶対に乗り遅れないようにしてください!

さて、今回で、政策としてのサイバーセキュリティのお話は一段落とさせていただきます。次回からは、実際にサイバーセキュリティ対策をする場合に役立つ、ISMSについて、解説を連載させていただきます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。