【経営】

サイバーセキュリティ経営ガイドラインを策定


 ITの利活用は、企業の収益性向上に不可欠なものとなっている一方で、企業が保有する顧客の個人情報や重要な技術情報等を狙うサイバー攻撃は増加傾向にあり、その手口は巧妙化しています。経済産業省では、(独)情報処理推進機構(IPA)とともに、大企業及び中小企業のうちITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、サイバーセキュリティ対策を推進するため「サイバーセキュリティ経営ガイドライン」を策定し公表しています。

1.サイバーセキュリティは経営問題
顧客の個人情報を収集・活用する、営業秘密としての技術情報を活用する、プラントを自動制御する、など様々なビジネスの現場において、ITの利活用は企業の収益性向上に不可欠なものとなっている。

一方、こうしたビジネスを脅かすサイバー攻撃は避けられないリスクとなっている。純利益の半分以上を失うような攻撃を受けた企業も存在するなど、深刻な問題を引き起こすこともある。そして、その防衛策には、セキュリティへの投資が必要となる。つまり、企業戦略として、ITに対する投資をどの程度行うのか、その中で、どの程度、事業継続性の確保やサイバー攻撃に対する防衛力の向上という企業価値のためにセキュリティ投資をすべきか、経営判断が求められる。

また、サイバー攻撃により、個人情報や安全保障上の機微な技術の流出、インフラの供給停止など社会に対して損害を与えてしまった場合、社会から経営者のリスク対応の是非、さらには経営責任が問われることもある。

本ガイドラインは、大企業及び中小企業(小規模事業者を除く)のうち、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象として、サイバー攻撃から企業を守る観点で、「経営者が認識する必要がある『3原則』」及び「経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO(最高情報セキュリティ責任者:企業内で情報セキュリティを統括する担当役員)等)に指示すべき『重要10項目』」をまとめたものである。

2.経営者が認識する必要がある「3原則」
(1)セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい。このため、サイバー攻撃のリスクをどの程度受容するのか、セキュリティ投資をどこまでやるのか、経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与えるリスクが見過ごされてしまう。

(2)子会社で発生した問題はもちろんのこと、自社から生産の委託先などの外部に提供した情報がサイバー攻撃により流出してしまうことも大きなリスク要因となる。このため、自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要である。

(3)ステークホルダー(顧客や株主等)の信頼感を高めるとともに、サイバー攻撃を受けた場合の不信感を抑えるため、平時からのセキュリティ対策に関する情報開示など、関係者との適切なコミュニケーションが必要である。

3.情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」



詳しくは下記参照先をご覧ください。

参照ホームページ[経済産業省]
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html


Copyright SBI Business Solutions Co., Ltd. All rights reserved.