行政機関や企業へのITの普及は労働生産性の向上につながりましたが、"情報漏えい"の危険度が増してきたのも事実です。近年、大規模な情報漏えい事件がたびたび発生したことは記憶に新しいでしょう。このような事件を受け、2016年4月に、『改正サイバー法 (サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案)』が成立しました。まずは、その内容を確認しておきましょう。

今回のサイバー法改正により、国や自治体など行政機関だけではなく、外郭団体まで対象範囲を広げたわけですが、一方で企業への法整備はこれからの課題となってきます。

このような中、『サイバーセキュリティ基本法』施行を受ける形で、2015年12月に経済産業省と独立行政法人情報処理推進機構 (IPA) が、企業の経営者に向けた『サイバーセキュリティ経営ガイドライン』を発表しました。そこには、『サイバーセキュリティは経営問題』であり、サイバー攻撃は避けられないリスクであると言及されているとともに、経営者に向けた『サイバーセキュリティ経営の3原則』や、セキュリティ担当者に向けた『サイバーセキュリティ経営の重要10項目』がまとめられています。

まずは、『サイバーセキュリティ経営の3原則』をみてみましょう。

この中でも (1) の『経営者がリーダーシップを発揮し推進しなければならない』としている点は注目すべき点です。中には、「そもそもサイバー攻撃の標的にならなければ問題がない。うちは中小だから標的になることもないし、費用をかけて対策する必要はないのではないか?」と考える方もいるかもしれません。しかし、現在ではあらゆる規模の企業がサイバー攻撃対象となると考えられています。顧客情報の流出の被害に遭った時に発生するであろう莫大な賠償金や、企業存続に関わるリスクを考えて、経営層が危機感を持って対策を先導することを奨励しているのです。

次に、経営者が情報部門の担当幹部に対して示さなければならない『サイバーセキュリティ経営の重要10項目』を見てみましょう。

"サイバー攻撃を受けること"を想定した内容になっていることがお分かりいただけたかと思います。もはやサイバーセキュリティの脅威は、ある特定の団体や企業に限ったものではなく、どこにでも起きうることであると、国が警鐘を鳴らしているのです。企業としては、まずはこのような法令やガイドラインをもとに、できる対策から検討し、最新情報の収集を怠らないことが必要になってきます。

では実際にはどのような取り組みを進めて行けばいいのでしょうか? 次回コラムでは、現在のサイバー攻撃の傾向や具体的な対策事例を紹介していきたいと思います。