サイバーセキュリティ経営ガイドライン

読み方 : さいばーせきゅりてぃけいえいがいどらいん

サイバーセキュリティ経営ガイドラインとは

経済産業省が策定した、経営者がサイバー攻撃から企業を守るための理念や行動を記したガイドライン。法的拘束力はないが、順守すればサイバー攻撃対策の保険が割引になるなどの利点がある。

企業を狙ったサイバー攻撃によりシステムがダウンしたり、重要な情報が漏洩したりする事件が、日本でもここ数年で大幅に増えている。最近は単独犯ではなく、海外の組織が計画的に罠を仕掛けて攻撃してくる例もあり、その結果、大量の顧客情報や企業秘密が盗まれたり、ウェブサイトが停止して業務に支障を来したりと深刻な被害が出ている。

また、セキュリティ会社のファイア・アイによると、攻撃を受けた企業の69%はそのことに気づいておらず、外部からの指摘でようやく発覚したという。知らぬ間に被害が大きくなることも少なくないのだ。

内容:3原則と10項目で構成

今回のガイドラインは、そうした被害を防ぐため、経産省が経営者向けに策定したものである。「サイバーセキュリティは経営問題である」と明確に位置付け、経営者が認識すべき「3原則」と、経営者が企業内のセキュリティ責任者に指示して守らせるべき「重要10項目」を定めている。

3原則は、(1)セキュリティ投資は費用対効果が算出しづらいため、経営者が対策を推進する必要がある、(2)情報漏洩は自社やグループ会社だけでなく、業務委託先や取引先など自社のサプライチェーンにつながる企業からも起きるため、それら全体を含むセキュリティ対策が必要である、(3)顧客や株主など関係者からの信頼感を高め、万一攻撃を受けた際も不信感を抱かれないよう、日ごろから自社のセキュリティ対策を開示して関係者に知らせておく―といった内容だ。

重要10項目は、セキュリティポリシーを策定することや自社のセキュリティリスクを洗い出し対策を策定すること、実際にサイバー攻撃を受けた場合に備えて対策組織や初動マニュアルなど対応を決めておくこと、などを定めている。

効用:責任減免や保険割引も

このガイドラインに法律のような拘束力はないため、守らなくても処罰されることはない。とはいえ、政府が策定した指標なので、一定の影響力はある。

例えば、企業がサイバー攻撃を受けて情報漏洩などの被害が発生した場合、「企業の管理体制に問題があった」と損害賠償請求を起こされる可能性がある。そうした際に企業がガイドラインを順守して社内の体制を整えていれば、「管理体制が不十分だったために侵入を許したとは認められない」と裁判所が判断し、企業側の責任が減免されるといった可能性がある。

ガイドラインの順守が企業の利益に直接つながる例もある。東京海上日動火災保険は、サイバー攻撃による被害を対象とする保険「サイバーリスク保険」を提供している。これについて2016年1月以降、契約企業がガイドラインを順守していれば、保険料を最大3割り引きにする制度を打ち出している。

もちろん、足元の損得勘定を抜きにしても、サイバー攻撃はどの企業にとっても大きなリスクだ。万一に備え、この機会に社内の体制を見直そう。

出典:ITpro「今日のキーワード」(C)日経BP社

[2017年 2月 1日 公開]

お役立ち情報満載!「資料ダウンロードまとめサイト」のご案内