1.中小・中堅企業にとっての情報セキュリティ
経営課題として情報セキュリティの確保に取り組んでいる企業は、取引先にも
情報セキュリティの確保を求める傾向があります。そのような企業から取引先と
して選ばれるためには、中堅・中小企業にとっても情報セキュリティが重要な課
題の1つとなります。
一方、経営資源の限られる中堅・中小企業にとっては、過度の情報セキュリテ
ィ対策を実施することは大きな負担となります。昨今の景気状況を考えても、取
引先から求められる対策を過度、過小のどちらでもないレベルで実施することが
重要です。
取引先において情報セキュリティを確保するための具体的な方法には以下があ
ります。
a)情報セキュリティ対策の実施を契約書に含める。または、契約とは別に
覚書等を締結する。
b)プライバシーマーク、ISMSや格付けといった第三者評価を取引先の
選定条件の1つとする。
c)チェックシートや監査によって、取引先の情報セキュリティの状況を確
認する。
多くの場合、a)は既に行われていますが、今後b)とc)の実施が増えてい
くと考えられます。
2.中小企業の情報セキュリティ対策確認手法に関する実態調査
独立行政法人のIPA(情報処理推進機構)は、中小企業が取引先から情報セ
キュリティの状況確認を受けている実態についてアンケート調査を実施していま
す(有効回答数:中小企業418社、大企業170社)。
http://www.ipa.go.jp/security/fy19/reports/sme/index.html
(1)取引先(発注元)から情報セキュリティ対策状況に関して確認を受けたこ
とがある中小企業は2/3
その内で確認を受ける件数が増加傾向にあると回答した中小企業は4割を超え
ています。特に、情報通信・金融保険・サービス業の企業から確認を受けた割合
が84%と高く、確認の対象としては「取引先の顧客に関する個人情報」が最も
多いようです。
逆に、大企業に対するアンケートの結果からは、半数以上(55%)の大企業
が取引先の情報セキュリティ対策状況を確認しており、確認対象は個人情報や重
要な技術情報を含む業務の取引先です。
※アンケートでは、中小企業の取引先を大企業に限定しておらず、大企業の取引
先を中小企業に限定していません。
(2)取引先からの確認方法としては「チェックシート等による確認」が多い
確認を受けたことのある中小企業の76%は、チェックシートによる確認を受
けています。次に多いのはプライバシーマーク等の各種認証の取得証明書の提示
(27%)ですが、情報通信・金融保険・サービス業から提示を求められる割合
が高いそうです。
大企業からの確認方法も大半(74%)が「チェックシート等による確認」で
す。ただし、大企業の55%は、「書面での確認は可能だが、実態までは確認で
きない」との悩みを持っています。
(3)取引先から確認される(要求される)対策は「組織的な取り組み」が多い
確認を受けたことのある中小企業の69%は、情報管理体制の整備、従業員と
の契約条件(誓約書)、従業員の教育といった組織的な取り組みを要求されてい
ます。物理的対策(建物や部屋の入退管理、キャビネットの施錠)が59%、通
信ネットワークおよび情報システムの運用管理(ウィルス対策など)が53%と
続きます。再委託先の管理も48%と高い割合になっていますが、実際に再委託
先管理ができていると回答した会社は27%にとどまり、最も要求と実現の乖離
が大きい対策項目となっています。
確認を行っている大企業の84%が組織的な取り組みを確認しています。また、
情報通信・金融保険・サービス業は、確認項目が多い傾向にあります。
(4)取引先からの確認によって、中小企業の対策レベルがあがっている
各対策項目について、取引先から確認を受けたことのある中小企業と確認を受
けたことの無い中小企業の実施状況を見ると、(当然のことながら)確認を受け
たことのある中小企業の方が実施率の高く、特に再委託先の管理の実施率が改善
されていることが分かります。
3.まとめ
IPAのアンケート結果からも、中小企業が取引先から情報セキュリティ対策
の実施状況の確認を受けるケースが増えています。
特に、確認されることが多い組織的な取り組みについては、費用もあまり要さ
ないため、あらかじめ取り組んでおくことが望ましいと言えます。以下は、IP
Aが提供する情報セキュリティ対策ベンチマークに記されている一般的な組織的
取り組みです。
・情報セキュリティポリシーや情報セキュリティ管理に関する規程を定める。
・経営層を含めた情報セキュリティの推進体制の推進体制を整備する。
・重要な情報資産(情報及び情報システム)を、その重要性のレベルごとに分類
し、さらにレベルに応じた表示や取扱いをするための方法を定める。
・重要な情報(たとえば個人データや機密情報など)について、入手、作成、利
用、保管、交換、提供、消去、破棄などの一連の業務プロセスごとにきめ細か
くセキュリティ上の適切な措置を講じる。
・外部の組織に業務や情報システムの運用管理を委託する際の契約書には、セキ
ュリティ上の理由から相手方に求めるべき事項を記載する。
・従業者(派遣を含む)に対し、採用、退職の際に守秘義務に関する書面を取り
交わすなどして、セキュリティに関する就業上の義務を明確にする。
・経営層や派遣を含む全ての従業者に対し、情報セキュリティに関する自組織の
取組や関連規程類について、計画的な教育や指導を実施する。
(参考)
・中小・中堅企業にとっての情報セキュリティを再考する(1)
http://www.itc-kyoto.jp/itc/index0298.html
■執筆者プロフィール
岩本 元(いわもと はじめ)
ITコーディネーター、技術士(情報工学部門、総合技術監理部門)
&情報処理技術者(システム監査、プロジェクトマネージャ他)
企業における情報セキュリティ対策・BPR・IT教育・ネットワーク構築の
ご支援
コメントをお書きください