この記事は(一社)日本経営士会発行の「環境CSRニュース」で配信した記事の一部です。日本経営士会 環境CSRのホームページはこちらへ。 http://www.compact-eco.com
「中小企業の情報セキュリティ対策」 シリーズ②
経営者の役割
経営者は情報セキュリティ全般について知っておくべきですが、その中でも企業が被る主な不利益は次の4点です。
※ 金銭の損出
取引先から預かった機密情報を万一漏洩した場合は取引先や更にその先の顧客などから損害賠償責任を受けたり漏洩情報を記録したデータベース等の利用を差し止められ自社業務に深刻な停滞を招くなど大きな経済的損出を受けることになります。
※ 顧客の喪失
情報セキュリティ上の事故を発生させるとその原因が何であれ、事故を起こした企業の管理責任が問われ社会的評価が低下し、顧客の喪失にもつながります。この社会的評価の回復には時間が掛かり回復もままならず事業の存続が困難になる場合もあります。
※ 業務の喪失
情報漏洩など情報セキュリティ上の事故が発生すると被害の拡大を防止するため、自社で運営しているサーバーの停止や、インターネットへの接続の遮断などを行います。
インターネットを通じた取引先から見ると、営業を停止していると同じ状態になるため、措置を講じている間は営業機会の喪失となります。さらに販売管理、会計などの基幹システムや電子メールが使えなくなり社内業務が停滞してしまいます。
※ 従業員への影響
情報セキュリティ対策の不備を悪用した内部不正が容易に行える職場環境は従業員のモラルの低下を招く原因になります。
更に事故を起こしたにも関わらず従業員のみを罰して経営者が責任を取らない対応をすることで従業員が働く意欲を失う恐れがあります。情報漏洩など企業イメージダウンのを嫌って転職する従業員も現れたり、従業員から訴訟を起こされたりすることも考えられます。
経営者が負う責任
※ 経営者等に問われる法的責任
個人情報やマイナンバーに関する違反の場合は刑事罰が科されます。また、この場合は個人情報保護委員会による立ち入り検査を受ける責任があります。
民法上の不法行為とみなされた場合は、経営者が個人として損害賠償責任を負う場合があります。
筆者注:刑事罰とありますが私の様に素人にはよくわかりませんが、ごく簡単に説明しますと以下の様です。「刑事」の場合は、刑法だけではなく、著作権法、労働基準法、自治体の条例など、およそ罰を定める法令を指します。
一方、「民亊」の場合は「罰」ではなく「賠償」の問題になります。刑事犯罪を犯して他人を害した場合には、刑罰とは別に損害賠償や慰謝料などの支払い義務が生じます。
前科というのは「罰金刑以上の刑罰を科せられた過去の犯罪歴」ですから、民亊には当てはまりません。
※関係者や社会に対する責任
情報セキュリティ対策は顧客・取引先・従業員・株主等に対する経営者としての責任から逃れられません。
それでは経営者は何をすればよいのか?
原則1:情報セキュリティ対策は経営者のリーダーシップで進める。
原則2:取引先の情報セキュリティ対策まで考慮する。
原則3:関係者との情報セキュリティに関するコミュニケーションはどんな時でも怠らない。
経営者が取り組まねばならない7項目
取組1
情報セキュリティに関する、組織全体の対応方針を定める。
取組2
情報セキュリティ対策のための予算、人材などを確保する。
取組3
担当者に必要と考えられる対策を検討させて実行を指示する。
取組4
情報セキュリティ対策に関する定期・随時の見直しを行う。
取組5
業務委託や外部サービスを利用する場合は情報セキュリティに関する責任範囲を明確にする。
業務委託先には少なくとも自社と同程度の対策が行われる様にしなければなりません。
契約書に情報セキュリティに関する相手先の責任、実施すべき対策を明確にしなければなりませ
ん。
取組6
情報セキュリティに関する最新動向を収集する。
情報技術の進化の速さからその対策はめまぐるしく変化します。
取組7
緊急時の社内外の連絡先や被害発生時の対処について準備しておく。
次回は「管理実践編」です。
●出典元は独立行政法人情報処理推進機構(略称IPA)
今回のシリーズは独立行政法人情報処理推進機構(略称IPA)の「中小企業の情報セキュリティ対策ガイドライン」第2.1版(2017年1月改定A5版54p CD付)を基にしています。
ご関心のある方は 03-5978-7508に電話して申し込んでください。1冊200円だそうです。
IPAは日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の独立行政法人です。