インターネットの時代になって、情報の管理は重要な経営課題となっています。
「大事な顧客の情報をうっかり外部に漏らしてしまった」、「取引条件について
の重要事項を誤って別の取引先にメールで送ってしまった」などは、紙での取引
が中心の時代では考えられないことですが、インターネットの時代では担当者の
ちょっとした不注意で発生してしまいます。
セキュリティ対策といえば、ウイルス対策や不正アクセスへの対策に目が奪わ
れがちですが、実は一番重要なのは社内からの企業情報漏洩対策です。前述のよ
うに悪意はなくとも、担当者のちょっとした不注意からでも情報漏洩は発生し、
取り返しのつかない事態を招くことすらあり得ます。
情報の管理方法を定めた「セキュリティポリシー」は、すべての企業に必要な
社内規定になっています。そこには、外部の”攻撃”から社内の重要情報を守る
方法だけでなく、社内からの情報漏洩対策も必要です。「情報管理の甘い企業は
取引対象から除外される!」時代が始まっているのです。
企業活動は情報システムへの依存度がますます高くなっています。インターネ
ットやメールは、企業活動にとって無くてはならないものになっています。情報
の共有化が進み、企業経営のあり方は大きく変わろうとしています。このような
変化に対応し、ITを活用した経営革新を支援するのが私たちITコーディネー
タの役割に他なりません。
情報の共有と活用を押し進める一方で、情報の管理方法・ルールづくりについ
てアドバイスするのもITコーディネータの役割です。ここでは、情報の管理方
法・ルールについて書かれた社内規定=セキュリティポリシーを作成する場合の
参考になるサンプルを紹介します。
私の所属する「情報システムコントロール協会(ISACA)大阪支部」のホ
ームページにセキュリティポリシーのサンプルが掲載されています。やや難解な
内容ですが、自社でセキュリティポリシーを作成する上での参考にしてください。
下記URLで、セキュリティポリシーを選択してください。(PDFファイルで提供
されています)
http://www.isaca-osaka.org/isaca001.htm
■執筆者プロフィール
藤原正樹(フジワラマサキ)
中小企業診断士 公認情報システム監査人(CISA)
e-mail:masaki_fujiwara@nifty.ne.jp
コメントをお書きください