2016年8月2日、内閣サイバーセキュリティセンター(NISC)から「企業経営のためのサイバーセキュリティの考え方」が発表されました。

本コラムでも紹介しましたが、2015年、経済産業省からは「サイバーセキュリティ経営ガイドライン」が発表されています。

ただ、これらについてはまだまだ定着しているとは言い難いものがあります。

そこで、2016年4月に、サイバーセキュリティ戦略本部の普及啓発・人材育成専門調査会の中に、「セキュリティマインドを持った企業経営ワーキンググループ」が設置され、大急ぎで発表されたのが、この「企業経営のためのサイバーセキュリティの考え方」です。

「サイバーセキュリティ経営ガイドライン」では、“サイバーセキュリティ対策は【経営責任】である”と宣言されたことを説明しました。
「企業経営のためのサイバーセキュリティの考え方」はさらに一歩進んで、“サイバーセキュリティ対策は【会社法上の義務】である”としています。

事業運営において、ITを使用しないなんて、今の時代に最早考えられないから、サイバーセキュリティの確保は内部統制上の必須事項である。
だから会社法上の問題なんだ、と明言したのです。

「考え方」の基本概念とは

2つの基本認識について

サイバーセキュリティは利益を生み出し、ビジネスモデルを革新するものであり、新しい製品やサービスを創造するための戦略の一環として考えていく必要がある。

サイバーセキュリティ対策がコストとか言ってると笑われちゃうよ、ということですね。経営戦略の一環として捉えないと、新商品開発などできないじゃないか、と言っています。

全てがつながる社会において、サイバーセキュリティに取り組むことは、社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与することとなる。

サイバーセキュリティ対策をしてないと、そもそも社会から相手にされなくなるよ、ということですね。セキュリティ事故を起こして経営危機になっている会社は、もういくらでも挙げることができます。この状況で対策をしていないなど、白い眼で見られます。

3つの留意事項とは

情報発信による社会的評価の向上

ウチの会社は、こういう対策してるから、サイバーセキュリティも安心なんですよ、と情報発信をすること。サイバーセキュリティ経営ガイドラインで言う「平時からの情報開示」に通じますね。

ISMS認証や情報セキュリティ監査報告書等が方法として挙げられます。

リスクの一項目としてのサイバーセキュリティ

サイバーセキュリティも経営リスクの一つであり、経営の根幹にかかわることだという認識を持ちなさい、ということです。

特に、日本ではまだ“個人情報”にばかり意識が行っていますが、他の営業秘密も流出すれば、企業ブランドの毀損、事業継続への影響なども発生します。

きちんと経営判断項目としてサイバーセキュリティを捉えれば、他の情報流出リスクも自ずと理解できるはずです。

サプライチェーン全体でのサイバーセキュリティの確保

おそらく今の日本の商慣習では、これが一番インパクトがあるかも知れません。

何か仕事を請け負う場合、自社のみで完結することは稀です。社員やパートナーだけでなく、システム管理の委託先、例えば、クラウドに重要情報を置くのなら、そのクラウドサービスが安全であることを確保する必要があるのです。

委託したから相手の責任、とはなりません。委託するなら、「こういう理由で安全と判断した」と表明できるようにして、委託先で問題が発生したら、自社の責任として受け止めなければならないのです。

実際、システム管理会社も玉石混交です。価格や知名度だけで判断すると、とんでもないことになりかねません。「委託するのも自社責任」の認識を持ち、慎重な判断が望まれます。

さらに逆の立場になってみれば、自社のサイバーセキュリティ対策の安全性を証明できないと、受注できなくなってくるのです。安易に構えていると、自社のビジネスが激減する可能性すらあります。

おわりに

この「企業経営のためのサイバーセキュリティの考え方」もそうですが、今までコラムで解説した通り、現在国は、様々な方法を駆使して、大急ぎで日本のサイバーセキュリティ意識を変えようとしています。

この流れを無視すると、仕事の受注に支障を来すようになってきます。そのターゲットイヤーは2020年。東京オリンピックの年です。後4年、民間企業も全力でサイバーセキュリティ対策に取り組む必要があります。

皆さんも絶対に乗り遅れないようにしてください!

さて、今回で、政策としてのサイバーセキュリティのお話は一段落とさせていただきます。次回からは、実際にサイバーセキュリティ対策をする場合に役立つ、ISMSについて、解説を連載させていただきます。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。