中小企業の情報セキュリティ対策
- 2018/7/1
- トピックス
経済産業省とIPA((独)情報処理推進機構))が公表した2つの情報ガイドラインの背景等をみる。現代は、顧客情報等といった法人・個人の秘密情報が巷に溢れている、その重要情報の保護管理強化の必要性は官・民問わず組織等において益々高まっている。
また、「ひとたび情報漏洩・情報データ改ざん等の不祥事が起こると、社会的な信用の低下により 顧客を失い、甚大な損失が起こる可能性がある。したがって、傾向的に組織的対応が遅れていると言われる中小規模・小規模企業等にとって重要情報の保護管理強化は喫緊の課題となっている。」
(出典:秘密情報の保護ハンドブック~企業価値向上に向けて(2016年 平成28年2月:経済産業省))
最近の情漏洩等不祥事発生結果の企業行動としてよくみられる状況である。
我が国中小企業・小規模企業等は、生産性向上に向けた取組みにより実践的内容に着目されている。生産性向上の促進を求められツールとしてIT活用の推進が重要要因となっている。IT化の進展を踏まえ、従前より企業情報漏洩・データ改ざん等の不詳事発生の都度、企業の経営者と情報管理責任者等の三者が頭を下げ陳謝している光景をテレビでよくみられる。その後、法的責任を果たすための企業行動が求められている。
【秘密情報の保護ハンドブック~企業価値向上に向けて(2016年 平成28年2月:経済産業省)~】
「重要な情報とは営業秘密より広い意味での秘密情報としている。基本的に、意図的な秘密情報の漏洩防止を目的とした対策を記載している。秘密情報の保護ハンドブック概要は、経営者・情報担当管理者をはじめ大企業・中小企業が秘密情報の管理を行う際の参考となるよう「秘密情報を決定する際の考え方」・「具体的な漏洩防止対策」・「情報の漏洩が起こってしまった時の対応 方法」等を示している。 各企業の状況に応じ対応して、「ムリ・ムダ・ムラ」のない秘密情報の保護に取組みを推進していくことも目的の一つとしている。」
(出典:秘密情報の保護ハンドブック~企業価値向上に向けて(2016年 平成28年2月:経済産業省))
企業の情報セキュリティ対策として、主に下記の5項目に関して企業内外等向けに記載している。
【秘密情報漏洩の5つの対策】
接近能力の制御、2)持ち出し困難化、3)視認性の確保、4)秘密情報に対する認識向上(不正行為者の言い逃れの排除)、5)信頼関係の維持・向上等」(出典:秘密情報の保護ハンドブック~企業価値向上に向けて
(2016年 平成28年2月:経済産業省))
【中小企業の情報セキュリティ対策ガイドライン第2.17版(2017年1月 平成29年1月:(IPA(独)情報処理推進機構)】
「中小企業にとって重要な情報を、漏洩・改ざんや消失などの脅威から保護することを目的として中小企業の情報セキュリティ対策を表示している(情報セキュリティ対策の考え方や実践方法について説明)。」(出典:中小企業の情報セキュリティ対策ガイドライン第2.17版
(2017年1月 平成29年1月:IPA(独)情報処理推進機構))
以上、主な2つの情報ガイドラインを紹介した。
筆者のITへの想いを少し述べてみることとしよう。
中小企業のIT導入も少数派的に実施していると思われるが、筆者の数少ない面談企業は、なかなか業務の改善、業務プロセスの見直し等が進展せず各業務システムのIT化が進展していないという話が多い。
中小企業等のIT化が進展しない理由として考えられることは、(1)傾向的に従業員のみならず社長である経営者がITに関して知識・経験が少なく教育不足の感があるのではないだろうか。経営者の情緒的理由(プライド等)が、中小企業におけるIT化が進展しない主な要因の一つではないかと考えられる。(2)既に多く言われていることであるが、IT導入の成功要因として導入以前に業務の改善・各業務プロセスの見直し等が必要であるとされている。
しかしながら、経営資源の少ないなか中小企業等は多くの課題を抱えながら、業務の改善・業務プロセスの見直し等が実施されていないのではないかと推される。我が国平均的経営者の方々と同世代の筆者もそうであるが、学生時代にパソコンは無く、スマートフォンも無く、ブログ・SNS・フェイスブック等も世に出ていなかった。サラリーマン時代終わり頃必要に迫られ生活のために、若者にパソコンを教わりながら回議書に何とか記載して稟議したものである。機械ものといえば、算盤から電卓に変わったくらいである。当初、キャノーラという大きな電卓が数店舗に各1台づつ置くという時代であった。その内、小型化して安価になったものである。個人で持てるようになったのは、その後である。
中小企業等のIT化が進展しない理由の対策案としては、(1)中小企業の生産性向上において、多くのIT導入効果がいわれているが、まず、中小企業自身等のチャレンジが必要であると思われる。(2)生産性向上の手段として各業務システムのIT化導入が長年言われているが、中小企業者自身等も思い切って半歩踏み出す勇気が必要となっているのが現代ではないだろうか。中小企業者等の参照物として、ITは進化しているので新しいものが良いと思われる。経済産業省公表の秘密情報の保護ハンドブックは、我が国企業の重要情報セキュリティについての考え方や対策案を表示している。
他方、IPA(独立行政法人情報処理推進機構)が公表した中小企業の情報セキュリティ対策ガイドラインは、中小企業等の経営者及び情報セキュリティ対策担当管理者向けに表示されている。中小企業者とくに小規模企業者等においては、2018年版中小企業白書・小規模企業白書にあるように、少数の役員・従業員等で必要な時間が少ないといわれているなかで大切なことは、企業における各業務の改善と業務プロセスの見直し等を実施してから、情報セキュリティ対策の前提である全社員等の情報セキュリティに対する意識づけすることを筆者は感じるものである。それから全社員で検討し可能な手段から情報セキュリティ対策として導入するべきものと考えられる。
情報漏洩等の不祥事発生が現従業員・(中途)退職者の原因割合が多いことから(出典:平成28年度(IPA=独立行政法人情報処理推進機構)調査「企業における営業秘密情報管理に関する実態調査」)、人事制度の公正性を維持し、保有する重要情報において情報セキュリティの重要性を認識して会社・全社員は加害者にならないよう意識することが必要である。一度、情報漏洩のような不祥事等が発生すると、起こした社員は加害者であり、会社は被害者である。しかし,会社はお取引先・お客様に対しては加害者となる可能性がある。全体会議を継続実施して全社員で情報セキュリティの大切さを認識することが中小企業者および小規模事業者にとって、重要であると思われる。社長である経営者が組織にとって有効なトップ力を発揮することが必要である。