情報セキュリティポリシーはなぜ必要なのか?策定する意義や運用方法について
企業のリスク管理として、情報セキュリティ対策の重要性が日に日に高まっています。知的財産や顧客情報などを流出させてしまったら、企業は一夜にして存亡の危機に立たされます。悪意ある第三者のサイバー攻撃に備えるのはもちろんのこと、従業員の人的ミスによる情報漏洩にも対策が必要です。
今回は、企業が情報セキュリティ対策を考えるうえで重要な役割を果たす「情報セキュリティポリシー」について、その必要性や運用方法などを解説していきます。
情報セキュリティポリシーとは?
情報セキュリティポリシーとは、企業の情報セキュリティ対策に関する方針や行動指針のこと。どのようなリスクから、どのような情報資産を、どのように守るのかを示すものです。たとえば、「外部からの攻撃をどのように防御するのか?」「アクセス権限を誰に与え、誰に与えないか?」「委託先にはどんなセキュリティ対策を義務付けるか」といった内容を定めます。
企業に求められる情報セキュリティ対策は、それぞれの企業が持つ情報資産や組織の規模、業務形態やネットワーク・システムの構成などによって変わってきます。自社の現状に即した情報セキュリティポリシーを策定することが重要です。
情報セキュリティポリシーの目的と必要性
情報セキュリティポリシーの目的は、言うまでもなく企業の知的財産や顧客情報といった情報資産を守ることです。
企業が一度でも情報漏えいの事故・事件を起こしてしまうと、原因がサイバー攻撃であれ従業員の人的ミスであれ莫大な損失、賠償責任を免れることはできません。そのうえ、顧客や取引先からの信頼は失墜し、存亡の危機に立たされるケースも多々あります。このようなリスクから会社を守るためには情報セキュリティ対策が必須であり、情報セキュリティ対策を講じるうえでベースになるのが情報セキュリティポリシーです。
組織として高いレベルの情報セキュリティ対策を講じるにはどんな仕組みが必要なのか、どんな設備・ツールが必要なのか、といったことを見定めるためにも情報セキュリティポリシーは欠かせません。また、情報セキュリティポリシーを策定し、社内へ浸透させることで従業員のセキュリティ意識向上にもつながり、顧客や取引先からの信頼性も高くなります。
情報セキュリティポリシーの策定ポイント
情報セキュリティポリシーは、「基本方針」「対策基準」「実施手順」の3つで構成されるのが一般的です。
・基本方針
情報セキュリティ対策に関する根本的な考え方を示すものです。企業として、どのような情報資産を、どのような脅威から、どのように保護していくのかを明らかにします。
・対策基準
基本方針を実現するために、どんなセキュリティ対策を実施する必要があるのかを示すものです。情報セキュリティ対策の項目やルールなどをまとめます。
・実施手順
対策基準で示された内容を、具体的にどんな手順で実行していくのかを示すものです。いわば、情報セキュリティ対策の実施マニュアルです。
情報セキュリティポリシーのサンプル例文
情報セキュリティポリシーの概要を把握するには、サンプルを見るのが効果的です。形式や内容は企業によって異なりますが、内容をイメージするには十分です。
IPA(独立行政法人 情報処理推進機構)が公開している情報セキュリティポリシーのサンプルは、以下のような目次で構成されています。
2 人的対策
3 情報資産管理
4 アクセス制御及び認証
5 物理的対策
6 IT機器利用
7 IT基盤運用管理
8 システム開発及び保守
9 委託管理
10 情報セキュリティインシデント対応ならびに事業継続管理
11 個人番号及び特定個人情報の取り扱い
詳しい内容はIPAのWebサイトでご覧ください(付録5: 情報セキュリティ関連規程(サンプル)をダウンロード)
◎中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
情報セキュリティポリシーの運用方法
情報セキュリティポリシーは策定して終わりではありません。新たなリスクや組織の問題に対応していくには、PDCAを回し、改善を繰り返しながら運用していくことが大切です。
情報セキュリティポリシー(基本方針・対策基準・実施手順)を策定します。
・DO(導入・運用)
情報セキュリティポリシーの運用を開始するため、必要なシステム・ツールなどを導入し、従業員にアナウンス・教育をおこないます。
・CHECK(監視・見直し)
情報セキュリティポリシーが遵守されているか、問題点や欠点がないかを監視します。
・ACT(改善・処置)
情報セキュリティポリシーに問題点がある場合や、正しく実施されていない場合などは改善を図ります。
情報セキュリティポリシーの見直し・改善の例としては、テレワーク対応が分かりやすいかもしれません。新型コロナウイルスの感染対策のため、多くの企業がテレワーク(リモートワーク)を導入しましたが、従業員の勤務スタイルが変わったことでセキュリティリスクが増加しました。
テレワークでは、従業員が自宅から社内のデータにアクセスしたり、会社のモバイル端末を持ち出したりして業務をおこなうことが前提になります。そうなると当然、悪意ある第三者に付け入られる隙きも増えますし、人為的なミスから情報漏洩が起きる可能性も高まります。そのため、テレワークを導入するタイミングで情報セキュリティポリシーを策定・改変した企業も少なくありませんでした。
外部サービスを利用して情報セキュリティポリシーの策定も
情報セキュリティポリシーを策定するには専門的な知見が必要ですが、必ずしも社内に知見を有する人材がいるとは限りません。そのような場合は、外部の情報セキュリティコンサルタントを利用するのが賢明です。情報セキュリティポリシーの策定も可能な情報セキュリティコンサルティングに依頼することも検討してみてはいかがでしょうか。
◎情報セキュリティコンサルティングサービス
また、情報セキュリティ対策が必要なのは、電子データばかりではありません。機密文書の紙データの保管や処理も情報セキュリティ対策のひとつです。機密文書の保管や処理サービスを利用して、セキュリティレベルを高めていくことも大切です。
◎機密文書の保管・処理サービス
情報セキュリティポリシーがなければ会社は守れない
これからの時代、情報セキュリティポリシーがなければ会社を守ることはできません。まずは現状の情報セキュリティ体制を確認するとともに、考えられるリスク・課題を洗い出し、自社に最適な情報セキュリティポリシーを検討することからはじめましょう。