「中小企業の情報セキュリティ対策」 シリーズ③ 管理実践・管理職の役割

 この記事は（一社）日本経営士会発行の「環境CSRニュース」で配信した記事の一部です。日本経営士会　環境CSRのホームページはこちらへ。　　http://www.compact-eco.com 

今回のテーマ：「中小企業の情報セキュリティ対策」　シリーズ③

　　　　　　　　　管理実践・管理職の役割

 

前回のニュースで3原則、重要7項目を理解した上で今回は管理実践編です。

おさらいをします。

原則1：情報セキュリティ対策は経営者のリーダーシップで進める。

原則2：取引先の情報セキュリティ対策まで考慮する。

原則3：関係者との情報セキュリティに関するコミュニケーションはどんな時でも怠らない。

 

経営者が取り組まねばならない7項目

取組1

　情報セキュリティに関する、組織全体の対応方針を定める。

取組2

　情報セキュリティ対策のための予算、人材などを確保する。

取組3

　担当者に必要と考えられる対策を検討させて実行を指示する。

取組4

　情報セキュリティ対策に関する定期・随時の見直しを行う。

取組5

　業務委託や外部サービスを利用する場合は情報セキュリティに関する責任範囲を明確にし、

　自社と同程度の対策が行われる様に契約書で取り決める。

取組6

　情報セキュリティに関する最新動向を収集する。

取組7

　緊急時の社内外の連絡先や被害発生時の対処について準備しておく。

 

今回は管理実践編です。

該当企業（自社）にどのような情報資産があるかを漏れなく把握し、想定される脅威を特定した上で対策を検討し、情報セキュリティポリシーとして取りまとめる必要があります。

規模の小さい企業や、これまで十分な対策を実施してこなかった企業などを対象にすぐできることから開始して、段階的にステップアップすることで、企業のそれぞれの事情に適した対策が実施できるようにしましょう。

 

自社の情報セキュリティの診断とレベルアップ

スタート

1.情報セキュリティ5か条が出来ているか？

　OSやソフトウエアは最新の状態になっているか。

　注：OSとはOperating System オペレーティング システムの略。コンピューター全体を

       管理、制御し、パソコンに関していうと、マイクロソフト社のWindowsが最も有名です。

      ソフトウエアとはAdobe　Flash　Player、Adobe　Reader、Java(プログラミング言語の       ひとつ)実行環境等の利用中のソフトを最新版にする。

 

2.ウイルス対策ソフトの導入

　ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増えています。ウイルス対策ソフトの導入し、ウイルス定義ファイル（パターンファイル）は常に最新の状態（自動更新）にします。

統合型のセキュリティ対策ソフト（ファイヤーウォールや脆弱性対策など統合的に対策したソフト）の導入。

  注1：ファイアウォールとは「防火壁」を意味しますが、簡単に言うとネットワークとネット 

       ワークに間に立ち不正アクセスをブロックするためのシステムです。

注2：ウイルス対策ソフトの値段ですが「セキュリティソフト 通販 価格比較」を見ると

       数千円～1万円前後です。大規模になると値段は高くなるでしょうが筆者では？

 

3.パスワードの強化

　パスワードが推測や解析されたり、ウエッブサービスから摂取したID・パスワードが流用されることで、不正にログインされる被害が増えています。パスワードは長く、複座に使いまわさない様にして強化しよう。パスワードは英数字ふくめて10文字以上。

 

4.共有設定を見直す

　データ保管などのクラウドサービスやネットワーク接続の複合機を間違って無関係の人に情報を覗き見られるトラブルが増えています。

　クラウドサービスや機器が無関係な人に共有されていないか設定を確認しよう。

　注：クラウドサービスは、従来は利用者が手元のコンピュータで利用していたデータやソフ 

      トウェアを、ネットワーク経由で、サービスとして利用者に提供するものです。 クラウド 

      サービスを利用することで、これまで機材の購入やシステムの構築、管理などにかかるとさ

      れていたさまざまな手間や時間の削減をはじめとして、業務の効率化やコストダウンを図れ

      るというメリットがあります。

 

5.脅威や攻撃の手口を知る

　取引先や関係者と偽ってウイルス付のメールを送って来たり、正規のウエッブサイトに         

   似せた  偽サイトを立ち上げてID・パスワードを盗もうとする巧妙な手口が増えています。

　これら手口を知って対策を取ろう。

　例えば最近の脅威についてはIPAのホームページをご参照下さい。

　https://www.ipa.go.jp/security/vuln/10threats2018.html

　

 

次回は「情報セキュリティ自社診断」です。

●出典元は独立行政法人情報処理推進機構（略称IPA）

今回のシリーズは独立行政法人情報処理推進機構（略称IPA）の「中小企業の情報セキュリティ対策ガイドライン」第2.1版（2017年1月改定A5版54ｐ　CD付）を基にしています。

ご関心のある方は　03-5978-7508に電話して申し込んでください。1冊200円だそうです。

IPAは日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の独立行政法人です。

 

 

「中小企業の情報セキュリティ対策」 シリーズ② 経営者の役割

この記事は（一社）日本経営士会発行の「環境CSRニュース」で配信した記事の一部です。日本経営士会　環境CSRのホームページはこちらへ。　　http://www.compact-eco.com 

「中小企業の情報セキュリティ対策」　シリーズ②

　　　　　　　　　経営者の役割

 

経営者は情報セキュリティ全般について知っておくべきですが、その中でも企業が被る主な不利益は次の４点です。

※　金銭の損出

　取引先から預かった機密情報を万一漏洩した場合は取引先や更にその先の顧客などから損害賠償責任を受けたり漏洩情報を記録したデータベース等の利用を差し止められ自社業務に深刻な停滞を招くなど大きな経済的損出を受けることになります。

※　顧客の喪失

　情報セキュリティ上の事故を発生させるとその原因が何であれ、事故を起こした企業の管理責任が問われ社会的評価が低下し、顧客の喪失にもつながります。この社会的評価の回復には時間が掛かり回復もままならず事業の存続が困難になる場合もあります。

※　業務の喪失

　情報漏洩など情報セキュリティ上の事故が発生すると被害の拡大を防止するため、自社で運営しているサーバーの停止や、インターネットへの接続の遮断などを行います。

インターネットを通じた取引先から見ると、営業を停止していると同じ状態になるため、措置を講じている間は営業機会の喪失となります。さらに販売管理、会計などの基幹システムや電子メールが使えなくなり社内業務が停滞してしまいます。

※　従業員への影響

　情報セキュリティ対策の不備を悪用した内部不正が容易に行える職場環境は従業員のモラルの低下を招く原因になります。

更に事故を起こしたにも関わらず従業員のみを罰して経営者が責任を取らない対応をすることで従業員が働く意欲を失う恐れがあります。情報漏洩など企業イメージダウンのを嫌って転職する従業員も現れたり、従業員から訴訟を起こされたりすることも考えられます。

 

経営者が負う責任

※　経営者等に問われる法的責任

　個人情報やマイナンバーに関する違反の場合は刑事罰が科されます。また、この場合は個人情報保護委員会による立ち入り検査を受ける責任があります。

民法上の不法行為とみなされた場合は、経営者が個人として損害賠償責任を負う場合があります。 

筆者注：刑事罰とありますが私の様に素人にはよくわかりませんが、ごく簡単に説明しますと以下の様です。「刑事」の場合は、刑法だけではなく、著作権法、労働基準法、自治体の条例など、およそ罰を定める法令を指します。

一方、「民亊」の場合は「罰」ではなく「賠償」の問題になります。刑事犯罪を犯して他人を害した場合には、刑罰とは別に損害賠償や慰謝料などの支払い義務が生じます。
前科というのは「罰金刑以上の刑罰を科せられた過去の犯罪歴」ですから、民亊には当てはまりません。

 ※関係者や社会に対する責任

　情報セキュリティ対策は顧客・取引先・従業員・株主等に対する経営者としての責任から逃れられません。 

それでは経営者は何をすればよいのか？

原則1：情報セキュリティ対策は経営者のリーダーシップで進める。

原則2：取引先の情報セキュリティ対策まで考慮する。

原則3：関係者との情報セキュリティに関するコミュニケーションはどんな時でも怠らない。 

経営者が取り組まねばならない7項目

取組1

　情報セキュリティに関する、組織全体の対応方針を定める。

取組2

　情報セキュリティ対策のための予算、人材などを確保する。

取組3

　担当者に必要と考えられる対策を検討させて実行を指示する。

取組4

　情報セキュリティ対策に関する定期・随時の見直しを行う。

取組5

　業務委託や外部サービスを利用する場合は情報セキュリティに関する責任範囲を明確にする。

　業務委託先には少なくとも自社と同程度の対策が行われる様にしなければなりません。

　契約書に情報セキュリティに関する相手先の責任、実施すべき対策を明確にしなければなりませ

　ん。

取組6

　情報セキュリティに関する最新動向を収集する。

　情報技術の進化の速さからその対策はめまぐるしく変化します。

取組7

　緊急時の社内外の連絡先や被害発生時の対処について準備しておく。

 

次回は「管理実践編」です。

 

●出典元は独立行政法人情報処理推進機構（略称IPA）

今回のシリーズは独立行政法人情報処理推進機構（略称IPA）の「中小企業の情報セキュリティ対策ガイドライン」第2.1版（2017年1月改定A5版54ｐ　CD付）を基にしています。

ご関心のある方は　03-5978-7508に電話して申し込んでください。1冊200円だそうです。

IPAは日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の独立行政法人です。

 

「中小企業の情報セキュリティ対策」 シリーズ① 情報セキュリティ対策が必要な理由

この記事は（一社）日本経営士会発行の「環境CSRニュース」で配信した記事の一部です。日本経営士会　環境CSRのホームページはこちらへ。　　http://www.compact-eco.com 

「中小企業の情報セキュリティ対策」　シリーズ①

　　　　　　　　　情報セキュリティ対策が必要な理由

情報セキュリティ対策はコンサルタントとして知っておきたい重要項目です。

情報セキュリティ対策をおろそかにすると企業は多額の損害、顧客流出、信用の失墜等を起こします。

 シリーズとして

①　情報セキュリティ対策が必要な理由

②　経営者としての役割

③　管理者としての役割

④　情報セキュリティ5か条

⑤　情報セキュリティ自社診断

このような概要で学習をします。今回は①です。下記の文章で経営者となっている箇所は

経営者と同じ視点で、経営コンサルタントと読み替えて下さい。

 

●経営を揺りがしかねない高額な賠償金発生も

情報セキュリティ対策を実施して対外的にアピールすることで企業として評価を高めて売り上げを伸ばしている企業がある一方、情報セキュリティ対策を疎かにしたために秘密情報や個人情報の漏洩を発生させ、経営を揺るがしかねない高額の賠償金を支払った例もあります。企業の継続的な発展のために、適切な情報セキュリティ対策が必要です。

 

●情報セキュリティ対策を軽く考えると

現代社会では金銭や物品だけでなく情報にも価値や権利が認められます。これに応じて、情報に

係る法律の整備も進んでいます。例えば個人情報保護法では事業者に対して個人の権利利益の保護、安全管理措置及び委託先の管理監督が義務付けられており、これらへの違反が認められると行政指導が行われ、それに従わなかった場合には行為者や会社に罰金刑が課せられます。

また民法上の不法行為（故意または不注意によって他人の権利を侵害し損害を発生させる行為。）とみなされた場合は行為者本人が損害賠償責任を負う他、直接に関与していない経営者も原則として損害賠償責任（使用者責任）を問われることになります。

さらに場合によっては取締役や監査役は別途会社法上の忠実義務違反（職務などを忠実に行う義務のこと。会社法第355条では、取締役が株式会社のために、職務を忠実に行う義務があることを定めている。）の責任を問われることもあります。

こうした責任を果たすためには、担当者へのまる投げでなく、経営者が自社の情報セキュリティについて明確な方針を示すとともに自ら実行していくことが必要です。

情報セキュリティ対策は経営者が主導し必要な範囲を網羅し、関係者と連携して組織的に実施しなければ機能しません。経営者はこれらを認識したうえで必要となる取り組みを担当者に支持する必要があります。

一方、重要な情報とは事業にとって必要で組織にとって価値があり、漏えい、改ざん又は消失した時に大きな影響がある情報です。

例えば自社でウエッブサイトを運用したり、顧客情報や取引先の秘密をサーバー（さまざまなデータを保管するものです）で管理するなどIT業務を活用している管理責任がある立場の方は必ず最新の情報セキュリティ対策を行う必要があります。

具体的な担当者はパソコンやネットワークなどを管理する総務、情報システム担当者や、財務情報や従業員の個人情報をなどを扱う経理、人事労務などの担当者、設計図や顧客情報などを委託先に提供する際に情報セキュリティ対策を相手に求める製造や営業担当などが該当します。

 

●出典元は独立行政法人情報処理推進機構（略称IPA）

今回のシリーズは独立行政法人情報処理推進機構（略称IPA）の「中小企業の情報セキュリティ対策ガイドライン」第2.1版（2017年1月改定A5版54ｐ　CD付）を基にしています。

ご関心のある方は　03-5978-7508に電話して申し込んでください。1冊200円だそうです。

IPAは日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の独立行政法人です。

 

東京商工会議所 のホームページに「環境CSR事業部の活動」が エコピープルのアクションレポートとして掲載

 この記事は（一社）日本経営士会発行の「環境CSRニュース」で配信した記事の一部です。日本経営士会　環境CSRのホームページはこちらへ。　　http://www.compact-eco.com 

東京商工会議所　のホームページに「環境CSR事業部の活動」が

エコピープルのアクションレポートとして掲載（エコユニット部門）

　

　（一社）日本経営士会　環境CSR事業部の活動が9月半ばに東京商工会議所のエコピープル支援事業のアクションレポートとして掲載されました。

　東京商工会議所に掲載依頼した目的は（一社）日本経営士会の環境CSR事業部の活動を広く知ってもらい環境経営士の普及とコンパクトエコシステム（CES）、コンパクトCSRシステム（C.CSR）の中小企業への普及のためです。 

　アクションレポートは次のような内容です。

　1.題名「中小企業にやさしい環境CSR経営の支援には環境経営士」になろう。

　2.（一社）日本経営士会と環境CSR事業部の紹介

　3.eco検定とエコピープルになったきっかけ

　4.エコピープル/エコユニットとしての活動

　5.エコピープル/エコユニットとしての今後の活動計画

　6.社会へのメッセージ

　7.eco検定受験者、学生へのメッセジ

 

　詳細は東京商工会議所のトップページ左下　→　検定試験情報→　eco検定　→　右側の下方　→　　

　エコピープル支援事業　→　アクションレポート　→　エコユニットの左下

　に日本経営士会のアクションレポートが掲載

　又は下記よりアクセスをお願いします。

　https://www.kentei.org/eco/people/report/index.html

環境省・経済産業省等の環境保全人材育成機関として登録された「環境経営士養成講座」を11月に東京で開催

この記事は（一社）日本経営士会発行の「環境CSRニュース」で配信した記事の一部です。日本経営士会　環境CSRのホームページはこちらへ。　　http://www.compact-eco.com 

（一社）日本経営士会は、企業等への環境保全活動の助言・支援を行う環境経営士の育成を目的に「環境経営士養成講座」を開催いたします。CSR・環境面からの経営支援を志す方には最適な資格です。

「環境経営士養成講座」は環境省、経済産業省、国土交通省、農林水産省、文部科学省の5省から、環境人材認定講座として指定されています。

 

この講座はベーシックコースB/CとアドバンストコースA/Cがあります。

B/Cはｴｺ検定合格者など環境関係の資格保持者は免除されます。

 

開催日時：B/C平成30年11月10日(土)　10：00～17：30

　　　　　A/C　11月17日（土）18（日） B/Cと同時刻

開催場所：（一社）日本経営士会本部：〒102-0084 東京都千代田区二番町 12-12 B.D.A

二番町ビル５F  （電話）03-3239-0691  

 

講座内容：B/C 環境保全に関する基礎的知識　　　　　 　

　　　　　 A/C　企業への環境保全活動の助言・支援に必要な知識等・企業における環境保全の

　　　　　取組・環境マネジメントの基本・各種環境マネジメントシステムの解説・環境報告書の

　　　　　作り方・環境教育・ＣＳＲ等 ・テスト

受講定員：B/C　8名　A/C8名（先着順）

受講料：B/C１万3千円　A/C　2万5千円（「CSR・環境と経営」B5版245ページ含む）

詳細・お申し込み：「環境経営士」で検索、又はhttp://www.compact-eco.com ホーム　お知らせ　Whats　NewよりPDFをダウンロードし御申し込み下さい。