KDDIホーム 法人のお客さま 業務改善のヒント満載 お役立ちコラム サイバー法改正とガイドライン…国が示すセキュリティ指針を確認し、脅威に備える!

サイバー法改正とガイドライン…国が示すセキュリティ指針を確認し、脅威に備える!

改正サイバー法! サイバーセキュリティ、経営者が知っておくべきことは?

行政機関や企業へのITの普及は労働生産性の向上につながりましたが、"情報漏えい"の危険度が増してきたのも事実です。近年、大規模な情報漏えい事件がたびたび発生したことは記憶に新しいでしょう。このような事件を受け、2016年4月に、『改正サイバー法 (サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案)』が成立しました。まずは、その内容を確認しておきましょう。

政府が主導する、国家ぐるみのサイバーセキュリティ

『改正サイバー法』の前身となる『サイバーセキュリティ基本法』は、国および地方公共団体に向けセキュリティ施策に関する基本をまとめた法令で、2015年に全面施行されたばかりです。それがたった1年後に改正された背景には、某外郭団体がマルウエア (ウイルス) に感染し100万件以上もの個人情報漏えいが発生した事件の影響がありました。『サイバーセキュリティ基本法』は政府機関を対象にしたものであったため、外郭団体は同法の範囲外で適用できなかったのです。そこで対象範囲を、政府の『サイバーセキュリティ戦略本部』が指定した特殊法人や認可法人などにまで広げることとしました。それが、今回の法改正のポイントの一つです。

そしてもう一つのポイントが、『情報処理安全確保支援士』を国家資格として創設したことです。2016年5月現在、その制度設計は経済産業省が中間とりまとめを出した状況ですが、国が本格的に『情報セキュリティのスペシャリスト』を育成する環境を整備して、企業が活用できるようにしようとしていることがうかがえます。

該当項目へジャンプしますさらに詳しくサイバーセキュリティへの対応方法を知りたい

経営者が知るべき『サイバーセキュリティの3原則』とは

今回のサイバー法改正により、国や自治体など行政機関だけではなく、外郭団体まで対象範囲を広げたわけですが、一方で企業への法整備はこれからの課題となってきます。

このような中、『サイバーセキュリティ基本法』施行を受ける形で、2015年12月に経済産業省と独立行政法人情報処理推進機構 (IPA) が、企業の経営者に向けた『サイバーセキュリティ経営ガイドライン』を発表しました。そこには、『サイバーセキュリティは経営問題』であり、サイバー攻撃は避けられないリスクであると言及されているとともに、経営者に向けた『サイバーセキュリティ経営の3原則』や、セキュリティ担当者に向けた『サイバーセキュリティ経営の重要10項目』がまとめられています

まずは、『サイバーセキュリティ経営の3原則』をみてみましょう。

<サイバーセキュリティ経営の3原則>

  1. (1) 経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

  2. (2) 自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要

  3. (3) 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要

この中でも (1) の『経営者がリーダーシップを発揮し推進しなければならない』としている点は注目すべき点です。中には、「そもそもサイバー攻撃の標的にならなければ問題がない。うちは中小だから標的になることもないし、費用をかけて対策する必要はないのではないか?」と考える方もいるかもしれません。しかし、現在ではあらゆる規模の企業がサイバー攻撃対象となると考えられています。顧客情報の流出の被害に遭った時に発生するであろう莫大な賠償金や、企業存続に関わるリスクを考えて、経営層が危機感を持って対策を先導することを奨励しているのです

次に、経営者が情報部門の担当幹部に対して示さなければならない『サイバーセキュリティ経営の重要10項目』を見てみましょう。

<サイバーセキュリティ経営の重要10項目>

  1. 1. リーダーシップの表明と体制の構築

    1. (1) サイバーセキュリティリスクの認識、組織全体での対応の策定

    2. (2) サイバーセキュリティリスク管理体制の構築

  2. 2. サイバーセキュリティリスク管理の枠組み決定

    1. (3) サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定

    2. (4) サイバーセキュリティ対策フレームワーク構築 (PDCA) と対策の開示

    3. (5) 系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

  3. 3. リスクを踏まえた攻撃を防ぐための事前対策

    1. (6) サイバーセキュリティ対策のための資源 (予算、人材等) 確保

    2. (7) IT システム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保

    3. (8) 情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

  4. 4. サイバー攻撃を受けた場合に備えた準備

    1. (9) 緊急時の対応体制 (緊急連絡先や初動対応マニュアル、CSIRT) の整備、定期的かつ実践的な演習の実施

    2. (10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

"サイバー攻撃を受けること"を想定した内容になっていることがお分かりいただけたかと思います。もはやサイバーセキュリティの脅威は、ある特定の団体や企業に限ったものではなく、どこにでも起きうることであると、国が警鐘を鳴らしているのです。企業としては、まずはこのような法令やガイドラインをもとに、できる対策から検討し、最新情報の収集を怠らないことが必要になってきます。

では実際にはどのような取り組みを進めて行けばいいのでしょうか? 次回コラムでは、現在のサイバー攻撃の傾向や具体的な対策事例を紹介していきたいと思います。

詳しい内容の資料を無料でダウンロードできます

中小企業のための『法改正の解説とその対応』ガイドブック

サイバー法など、法改正の内容とその影響についてポイントをまとめるとともに、対応策についても触れています。

新規ウィンドウが開きます資料ダウンロード

まずは、お気軽にご相談ください。

新規ウィンドウが開きますご検討・お見積の相談はこちら (無料)

パンフレットをダウンロードいただけます。

お電話でもメールでもどちらでもお問い合わせいただけます。