基本ノウハウ
インターネットを活用したビジネスが急増した近年では、情報セキュリティポリシーの策定や順守が重要視されています。しかし「そもそも情報セキュリティポリシーとは何?」「どのような内容を記載すれば良いのか」など疑問に思う方もいるでしょう。
本記事では情報セキュリティポリシーとは何か、その概要や策定内容について解説します。策定時のポイントや失敗事例もあわせて読むことで、効果的な情報セキュリティポリシーの策定方法が理解できるでしょう。ぜひ参考にしてみてください。
まずは情報セキュリティポリシーとは何か、概要について解説します。情報セキュリティポリシーが重要視されるようになった理由についても、あわせて見ていきましょう。
情報セキュリティポリシーとは、情報セキュリティ対策の方針や施策内容を定めたものです。現代のビジネスではインターネットや情報システムの活用が不可欠になりました。それにともなって、情報セキュリティ対策も必要になっています。
特に顧客情報などの重要な情報を扱う場合は、情報セキュリティポリシーの策定や運用による厳しい情報管理が大切です。セキュリティ面の問題が起きると、利益損失やブランドイメージの失墜だけでなく、法的責任を問われることにもなります。
事業をとどこおりなく進め、企業の発展を願うなら、情報セキュリティポリシーの策定は必須となります。
情報セキュリティポリシーはリモートワークの普及やDX化の推進によって、今まで以上に重要視されるようになりました。情報セキュリティポリシーをきちんと定めない、あるいは運用されない場合、次のような問題が起きかねないためです。
上記のような問題が起きると、場合によっては法律違反になり刑罰の対象です。例えば個人情報保護法の違反に該当すると、6カ月以下の懲役または30万円以下の罰金が科せられます。従業員が違反した場合でも、法人に対して罰金刑が適用されるため、社内周知も含め注意が必要です。
また法的責任をきちんと果たしても、一度起きてしまった過ちは負のイメージとして残り続けるでしょう。事業の衰退や撤退を避けるためにも、情報セキュリティポリシーの策定が不十分な場合は早急に対応したいところです。
情報セキュリティポリシーには、下表のように3つの内容を記載します。
策定内容 | 記載内容 | 例 |
---|---|---|
基本方針 | 情報セキュリティに関する組織の基本方針や宣言を記載 | ・情報セキュリティポリシーの必要性 ・対応基準や実施手順の方向性 ・情報セキュリティポリシーの適用範囲や対象者 ・違反時の処罰内容 など |
対策基準 | 基本方針の実践に必要な規則を記載 | ・入退出の管理 ・施設内外での管理 ・情報セキュリティ教育 ・ウイルス対策 ・社内ネットワークの利用方法 など |
実施手順 | 具体的な手続きを記載 | ・入退出管理マニュアル ・IDカード発行手順 ・訓練手順 ・ウイルス対策ソフトの導入手順 ・ネットワーク設定マニュアル など |
基本方針は情報セキュリティポリシーの柱であり、対策基準や実施基準を決める上で判断のよりどころにもなる内容です。対策基準は基本方針の実践に必要な規則を記載し、実施基準で具体的な手続きを定めた上で実際に行動する従業員へ周知されます。
なお情報セキュリティポリシーの基本方針では、対策を適用する範囲を定めます。すべてのリスクに対応しようとすると多額の費用がかかり、かつ仕事が効率的に進められないためです。
下表に起こりうるトラブルと対策の例をまとめているため、適用範囲や適用する対策を検討する際の参考にしてみてください。
起こりうるトラブル | 対策の例 |
---|---|
情報漏えい | ・ファイアウォールの導入 ・保管媒体の廃棄ルール策定 ・情報管理体制の強化 ・パスワードやユーザー権限の管理 ・無線LANのセキュリティ設定 など |
不正な侵入 | ・パスワード管理 ・ファイアウォールの導入 ・侵入防止システムの導入 ・ソフトウェアの更新 ・ログの取得と管理 など |
ウイルス感染 | ・ウイルス対策ソフトの導入 ・ソフトウェアの更新 ・危険なWebサイトのフィルタリング など |
情報セキュリティポリシー策定の一般的な流れは、次の通りです。
基本的には上記の流れで策定すれば、問題ありません。ただし業界や組織の規模などによって、細かい策定内容は変わってくるでしょう。
情報処理推進機構(IPA)では、中小企業向けの情報セキュリティガイドラインを公開しています。情報セキュリティポリシーのひな形など参考にできる資料も多いため、ぜひ参考にしてみてください。
4.情報セキュリティポリシー策定5つのポイント効果的な情報セキュリティポリシーを策定するためには、次のような5つのポイントを押さえる必要があります。
それぞれ詳しく見ていきましょう。
情報セキュリティポリシーの運用では経営陣や担当者だけでなく、現場の従業員まで全員関わる社内の体制づくりが大切です。実際に情報を扱う機会の多い従業員が情報セキュリティポリシーを守れるよう、定期的な教育も実施していきましょう。
また情報セキュリティポリシーの品質向上には、第三者の介入も必要です。
ただし第三者へ丸投げしていては実現性の低い対策が提案され、トラブルが発生したときに対応できない事態になりかねません。社外の人間も含めて情報セキュリティポリシーの体制づくりを進める際は、あくまでもアドバイザーとして協力してもらうと良いでしょう。
効果的な情報セキュリティポリシーを策定するためには、情報資産の保護範囲を明確にすることも大切です。情報資産とは企業や組織が保有する、ヒト・モノ・カネに関する情報全般を指します。例えばBtoB企業であれば、次のような情報資産が挙げられるでしょう。
情報資産の保管媒体は、紙の資料だけではありません。データベースやファイル内のデータのほか、外部ストレージ(USBメモリやHDDなど)のデータなども含まれます。
保護すべき情報資産があいまいなままだと、適切なセキュリティ対策がほどこせません。さらに従業員のセキュリティ意識が低下し、思わぬトラブルが発生する可能性があります。
そのような事態を避けるためにも、情報セキュリティポリシーには保護する情報資産の範囲を明記しましょう。
情報セキュリティポリシーは全従業員が目を通す資料のため、誰でも理解できるように分かりやすい言葉で具体的に書きます。セキュリティ対策に関する知識量は従業員によって異なりますが、読めば誰でも実行できるような文章構成が必要です。
例えばインターネットの利用について記載する際、下記のように簡単な言葉で分かりやすく表現しましょう。
【例文】インターネットの利用について
Webサイト利用時には以下に注意しましょう
業務でオンラインストレージサービスを利用する際には以下を守りましょう
参考:IPA(情報処理推進機構)|情報セキュリティハンドブック(ひな形)より
トラブルが発生したときにスムーズかつ正確な対応ができるよう、情報セキュリティポリシーにはトラブル発生時の対応も明記します。対応が遅れたり、間違ったりすると取り返しのつかないことになりかねないためです。
トラブル発生時は一般的に、次のような流れで対応します。
また、緊急時の役割分担と責任も明記しておくと良いでしょう。
ポジション | 対応例 |
---|---|
情報セキュリティ責任者 | 状況を判断し、対応を決定する |
情報セキュリティ部門責任者 | 情報セキュリティ責任者の指示に従い、事故やトラブルに対処する 事故やトラブルの原因を情報セキュリティ責任者へ報告する |
事故やトラブルを発見した従業員 | 情報セキュリティ部門責任者へ状況を報告する |
トラブルが発生したときに誰が何をするか明確にすることで、より迅速な対応が可能となり、被害の拡大を最小限に抑えられます。
情報セキュリティポリシーの策定は、PDCAサイクルを回しながらブラッシュアップしていくのがポイントです。セキュリティ対策の知識や経験が豊富な方でも、はじめから完璧な情報セキュリティポリシーは策定できません。企業によって情報セキュリティポリシーの対象範囲や、実行できる対策が異なるためです。
初めて情報セキュリティポリシーを策定した場合は、企業の実情にあわせて徐々にブラッシュアップすると良いでしょう。
PDCAサイクル | 内容 |
---|---|
計画(Plan) | 情報セキュリティポリシーを策定する |
実行(Do) | 策定した内容を実践してみる |
評価(Check) | 実践した結果、効果はありそうか確認する 課題があれば原因を探る |
改善(Action) | 改善策を検討・実行する |
なお情報セキュリティポリシーの実行には、現場の協力が不可欠です。そのためCheckの段階で従業員から意見をヒアリングし、Actionの段階に生かすとより実現性の高い情報セキュリティポリシーが策定できます。
また情報セキュリティポリシーは、社会状況の変化や新たなサイバー攻撃手法の出現なども考慮することが必要です。変動するリスクにも対応できるよう、定期的に情報セキュリティポリシーの内容を検討・ブラッシュアップしていきましょう。
最後に情報セキュリティポリシーの失敗事例を、3つ解説します。
実際に起きた事故の原因や対策を知り、自社の情報セキュリティポリシー策定に生かしましょう。
情報通信業では、顧客情報の入ったパソコンを紛失した失敗事例※1があります。紛失事故の原因は情報セキュリティポリシーの策定が不十分であり、パソコンを自由に持ち出せる環境にあったためでした。
当然従業員のセキュリティ意識も低く、顧客情報が入ったパソコンの扱いについて特別注意することもなかったでしょう。その結果、顧客からの信頼を失うことになってしまったのです。
再発を防止するために、当企業では次のような対策が講じられました。
※1参考:IPA(情報処理推進機構)|中小企業の情報セキュリティ対策ガイドライン第3版より
顧客からの信用を失うと、事業の存続が危ぶまれる可能性も出てきます。特に個人情報を保管した媒体はデジタルにしろ紙にしろ、紛失しないように注意したいところです。
製造業では怪しいメールのファイルを不用意に開き、基幹システムがウイルス感染した失敗事例※2があります。原因は、不審なメールを受け取った際の対処法を従業員へ指導していなかったためでした。
基幹システムはシステムベンダーが障害対応したものの、復旧まで1週間かかる結果に。再発を防止するために、当企業では次のような対策が講じられました。
※2参考:IPA(情報処理推進機構)|中小企業の情報セキュリティ対策ガイドライン第3版より
基幹システムが停止すると業務全体が停滞し、納期遅れや営業機会の損失などが発生しかねません。特に問い合わせメールを開く機会が多い、コンタクトセンターやマーケティング部門の担当者は十分注意しましょう。
サイトの改ざんは、業界や企業規模問わず発生率が高い失敗事例です。2000年代には、官庁のサイトが改ざんされた例※3があります。
原因のほとんどは、パスワード設定の甘さや脆弱性の放置など。基本的な情報セキュリティ対策を怠ったために、サイトを改ざんされるケースが多いのです。
※3参考:総務省|事故・被害の事例より
近年のBtoBマーケティングでは、Webサイトを活用した集客や商談までの導線づくりが主流になっています。せっかく力を入れたWebサイトが悪意によって改ざんされないよう、制作時はもちろん、運用・管理においてもセキュリティ体制は万全か定期的に確認しましょう。
情報セキュリティポリシーとは、セキュリティ対策の方針や施策内容を定めたものです。インターネットを活用して事業を展開する企業では、顧客情報などの情報資産を守るためにも策定が必須になっています。
情報セキュリティポリシーは基本方針を定める経営層だけでなく、実際に情報に触れて管理する全従業員の理解と運用が大切です。そのため、内容を検討・実行しながらブラッシュアップするときは、現場の意見もよく聞く必要があります。
セキュリティ面の問題をできるだけ回避し企業をとどこおりなく発展させるためにも、実現性の高い情報セキュリティポリシーを策定していきましょう。