ヒト・モノ・カネ・情報と言われる経営資源の情報にスポットを当て、経営に役立つ情報の利活用について模索中♪
東京商工会議所の会員のみですが、「標的型攻撃」メール訓練が無料で受けられます。
あらかじめ登録されたメールアドレス宛に、予告なく訓練メールが送信され、その後、申込担当者へ、申込企業毎の開封率等を記載した報告書が送信されるというものです。
この手の訓練は、大企業では実施されているものの、各企業で対応するには費用がかかりすぎることから、情報セキュリティの取り組みに関心の高い企業でも実施できていないのが現状です。
安易なクリック一つで、事業に影響を及ぼしてしまうケースが増えています。
啓発の一環として、お勧めです!
詳細・お申込みは、以下より。〆切は2020年11月30日までとなっています。
↓↓↓
東商イベントカレンダー 「標的型攻撃」メール訓練
プライバシーマーク認定における規格 JIS Q 15001 が2006年版から2017年版に改正されました。
これによって、2018年8月1日以降に新規取得する場合には新規格で審査を受けることになります。
更新の場合には2018年8月1日~2020年7月31日までに新規格への移行を進めておく必要があります。
(移行のための特別な審査があるというのではなく、通常のサイクルのなかで移行していくことになります)
さて、どのように改正されたのでしょうか。
JIS Q 15001:2017 の構成をみてみましょう。
4:組織の状況
5:リーダーシップ
6:計画
7:支援
8:運用
9:パフォーマンス評価
10:改善
附属書A(規定)管理目的及び管理策
附属書B(参考)管理策に関する補足
附属書C(参考)安全管理措置に関する管理目的及び管理策
附属書D(参考)新旧対応表
本文は、品質(QMS)、環境(EMS)、情報セキュリティ(ISMS)などのマネジメントシステムに対応したことがあれば馴染みのある構成になっています。2006年版の主な内容は附属書Aに集約されています。
附属書Aは、他の附属書が(参考)となっているなか、(規定)となっており、本文と同等レベルとして捉え、必須事項であるといえます。改正内容は、要配慮個人情報や匿名加工情報など改正個人情報保護法に関する事項など、想定できる範囲であるといえます。
本文「6:計画」の「6.1.3個人情報保護リスク対応」の項において、個人情報保護リスク対応のプロセスを定め、適用する際に必要な事項が見落とされていないことを検証するためにこの附属書Aは呼び出されています。
附属書Bは、附属書Aの補足です。対応する際のヒントになります。
附属書Cは、ISMSには馴染みのある JIS Q 27002:2014 の管理策と同等のものになっています。附属書Aの「A.3.4.3.2安全管理措置」の項から呼び出されるものであり、情報セキュリティ対策の参考にするというレベルのものであると思われます。
附属書Dは、新旧対応表になっているので、2006年版になくて、2017年版に追加されたものが分かりやすく整理されています。
さて、どこから対応していけばいいのか?
JIPDECから「プライバシーマーク付与適格性審査基準」が発行されており、附属書Aの部分については、対応するイメージがつくので、そこから見直しを開始されていくといいでしょう。
(参考)JIS改正に伴うプライバシーマーク審査基準の改正について
https://privacymark.jp/system/operation/jis_kaisei/index.html
本文については、附属書Aと多くの部分がオーバーラップしているのですが「4:組織の状況」など、新たな対応になる箇所があります(これらは他のマネジメントシステムの認証を取得されている組織にとっては馴染みのあるものです)。
プライバシーマークではそれらをどの程度まで求められるのか、2006年版同様にJIPDECより、ガイドラインが出されるものと思いますので、今後、情報収集していきながら、新規格対応について整理していきたいと思います。
ご参考までです。新しい動きがありましたらアップしていきたいと思います。
*2018/1/21現在の情報です。
朝日中小企業経営情報センター様が発行する ACC INFORMATION (No.39)の「中小企業経営の視点」のコーナーに「情報セキュリティを経営に役立つ基盤として活用しよう」と題して、執筆させていただきました。
いまや情報セキュリティに関する取り組みは取引条件になっています。どうせやるなら、やらされるものと思わず、組織を巻き込み、経営に役立つ視点を持って取り組んでいただきたいという思いをまとめました。
下記よりダウンロードすることができます。ご参照いただければ幸いです。
↓↓↓
改正個人情報保護法への対応について、イメージは膨らみましたでしょうか。
最後に理解度をチェックしてみましょう。10問用意いたしました。
(設問)
① 個人情報保護法の目的は「個人の権利利益の保護」と「個人情報の有用性」
のバランスを図るものである
② 本人が識別できる防犯カメラの映像情報は個人情報である
③ 個人識別符号である旅券番号は個人情報ではない
④ アンケートの戻りハガキが、分類整理されていない状態であっても個人情報
データベース等に含まれる
⑤ 委託された個人データは、保有個人データには該当しない
⑥ 国内の業務委託先に個人データを提供する場合には、第三者にあたるため、
記録を作成する必要がある
⑦ 取引先を紹介する目的で、ファイルから名刺を1枚取り出して、そのコピーを
渡す行為は第三者提供となるため、記録を取得する必要がある
⑧ 委託先の管理を徹底するにあたり「適切な委託先の選定」「委託契約の締結」
をしていれば足りる
⑨ 個人データを取扱う責任者と担当者を決めて、それ以外の方が触れることが
ないように対策を講じておく必要がある
⑩ 個人データの含まれるファイルをメールにて送信する際には、当該ファイルの
パスワードを設定する必要がある
>>続きを読む
ガイドラインには、安全管理措置については、中小企業事業者*1とそれ以外の事業者の2段階で記載されています。ここでは、中小企業事業者向けの対応について触れていきます。
*1
従業員が100人以下であり、過去6か月以内のいずれの日にも5,000件を超えておらず、委託を受けて個人データを取り扱っていないもの
対応策を考えるにあたり、個人情報を取扱う業務の流れを書いてみることをお勧めします。そこで、個人情報がリスクポイントとして考えられる「取得」「移送(メール授受、持ち運び等)」「利用」「変換(コピー等)」「保管」「削除・廃棄」の場面でどのような取扱いをしているのかを洗い出し、対応策が不十分だと思われる箇所について、補完しておきましょう。
>>続きを読む
対応しておきたい10項目の後半です。
6)質問及び苦情処理の窓口を開設しよう
顧客から連絡ができる方法を公表しておきましょう。ここに係る個人情報は「保有個人データ」が対象になりますので、自社内にどのような「保有個人データ」があるのか窓口となる部署ではあらかじめ把握しておきたいところです。
実際の業務では、「保有個人データ」からある条件のもとで抽出された宛先にダイレクトメールを送付するといったことを行っているかと思います。その後に、「どこで取得したものなのか?」「もう送らないで欲しい」「名前の漢字が間違っている」などという苦情のようなものから、「引っ越しして住所が変わったのですが」という問い合わせが想定されます。そのようなものに、スピーディに対応できるよう体制を整えておきましょう。
体制を整えるための提案として、ガイドラインには定められていませんが、個人情報台帳を作成し、「保有個人データ」を特定することを推奨します。
7)安全管理措置を行おう
中小企業事業者の場合とそれ以外の場合とでガイドラインには2段階で手法が例示されています。中小企業事業者が対応すべき項目を15個に整理したものを(第4回)で触れていきます。
>>続きを読む
いよいよ本日より改正個人情報保護法が施行されます。
対応しておきたい10項目をまとめてみました。2回に分けて掲載します。
1)基本方針を策定しよう
ガイドラインでは「基本方針を策定することが重要である」と書かれています。「しなければならない」という表現ではなく、必須とは言い難いですが、我々はしっかりと対応しているということをアピールするためにも策定しておきたいものです。定める項目としては、「事業者の名称」「関係法令、ガイドラインの遵守」「安全管理措置に関する事項」「質問及び苦情処理の窓口」などが考えられます。
2)個人情報の利用目的をあらかじめ公表しておこう
「公表」とは、広く一般に自己の意思を知らせることをいい、例えば、「個人情報の取扱いについて」というタイトルでホームページに掲載しておきましょう。
ホームページが無い場合や顧客層がインターネットをあまり利用していないと想定される場合などには、店舗や事務所など、顧客が訪れることが想定される場所に分かりやすく掲示するか、パンフレットやカタログなどに掲載しましょう。
>>続きを読む
改正個人情報保護法は平成27年9月に成立し、施行が平成29年5月30日からとなります。この法改正によって、一番の大きな影響は、全事業者が当法律の対象になるということです。準備は整っておりますでしょうか。
ここでは、中小企業事業者*1が対応すべき概要と対策の入門編として、何回かに分けて、掲載していきたいと思います。
*1
従業員が100人以下であり、過去6か月以内のいずれの日にも5,000件を超えておらず、委託を受けて個人データを取り扱っていないもの
【中小企業事業者のための改正個人情報保護法への対応】
(第1回)改正の目的と6つのポイント
個人情報保護法と向き合ううえで、最初に目的を確認しておきましょう。
個人情報保護法は『個人の権利利益の保護』と『個人情報の有用性』のバランスを図るものとなっています。
やらされることばかりだと思わず、法律を正しく理解し、個人情報を適切に管理しつつ、経営に役立たせられるよう上手に活用していくことが大切です。
改正の主なポイントを以下の6つに整理しました。
具体的な取り組みに入る前に確認しておきましょう。
>>続きを読む
改正個人情報保護法(5/30より施行)での監視カメラの映像への対応は?
(ご支援していてよくあるご質問です。)
監視カメラによる映像で特定の個人が識別できるのであれば「個人情報」に該当します。
よって、取得には利用目的を公表する必要がありそうですが、取得の状況からみて利用目的は明らかであり、利用目的の公表を必要としない場合にあたり、追加での対応は必要ありません。
しかし、小売店におけるレジの緩和やオペレーションの効率化などカメラ映像を利活用する場合などには、利用目的を公表する必要があります。
「カメラ画像利活用ガイドブック」(総務省)には、その際の通知文面の例などが掲載されていますので、参照されるといいでしょう。
↓↓↓
「カメラ画像利活用ガイドブック」(総務省)
東京商工会議所荒川支部にて、情報セキュリティに関するセミナーをさせていただきます。
情報セキュリティの取り組みは万全でしょうか。
対応することが今や必須というなか、やらされているという思いで取り組んでいては、コストにしかなりえません。情報セキュリティの本質を理解し、経営に役立つ取り組み方について考えてみませんか。
また、当セミナーでは、情報セキュリティ事故の発生確率を低くするために、最低限行うべき対策と、再発をさせない仕組み、情報漏えい事件が発生したときの適切な対応について、事例を元に、解説します。
(日時)2016年05月26日(木)14時00分〜16時00分
(場所)サンパール荒川(荒川区民会館)4階 集会室
(内容)・情報セキュリティの本質・業務改善の仕組み
・最低限これだけはやりたい情報セキュリティ対策
・マイナンバーへの対応 等
中小企業経営者や経営幹部のご参加を心よりお待ち申し上げております。
詳細、お申し込みなどは以下になります。
↓↓↓
http://event.tokyo-cci.or.jp/event_detail-70865.html
東京商工会議所発行の東商新聞に5年前になりますが「中小企業のための情報セキュリティ対策」という全6回のコラムを掲載させていただきました。
それがWeb版として閲覧することができるようになっています。
本質は今も大きくは変わってはいないなあと。
以下にリンクさせていただきます。
第1回 情報セキュリティの本質は可用性にある
第2回 実は8割が内部のミス!?情報セキュリティ事故の実際
第3回 どこまで対策すればよいの!?
第4回 リスクポイントを洗い出そう
第5回 周知徹底は教育で、有効性は内部監査で
第6回 PDCAを回すために必要なこと
貴社の情報セキュリティの取り組みを構築する際のご参考になれば幸いです。
30社以上の実績がある情報セキュリティ規程策定サービス(中小企業向け)をさらにご利用しやすい内容に改定いたしました。
個人情報、特定個人情報、お客様からお預かりした機密情報など、企業には守るべき情報資産がたくさんあります。法遵守の観点からも企業としての対応がますます求められてきています。
万が一の際、企業としての説明責任を果たせますか?何もやっていなかったとは言えません。
弊所の考える最低限のラインは「規程を策定し、従業員に周知徹底すること」です。その最低限のラインをしっかりと構築するお手伝いをさせていただきます。
詳細につきましては、以下を参照してください。
よろしくお願いいたします。
↓↓↓
情報セキュリティ規定策定支援サービス(中小企業向け)
マイナンバー法への対応はいかがでしょうか?
マイナンバー法施行に伴い、企業として最低限やっておかなければならないことを整理した冊子を執筆させていただきました。
どうせやるならということで、マイナンバーだけの対応ではなく、これを機に、お客様から預かった設計図などの機密情報の管理や、不正競争防止法でいう営業秘密にあたる情報の管理などに幅を拡げて企業としてのリスク管理の一つとして取り組んでいきませんか?という内容になっています。
「マイナンバー法の施行にあわせて見直す!情報セキュリティの取り組み」
(全32ページ)
(目次)
1.情報セキュリティ事故の実態
2.情報セキュリティとは
3.マイナンバー制度における必要な取り組みとは
4.情報セキュリティの取り組み5つのステップ
5.不正競争防止法の3要件
6.万が一の際に素早く対応することができるか
7.PDCAを回していくために必要なこと
2,000部ほど発行されるようです。それで、私の手元にも届けていただきました。
もし、ご希望がございましたら、お申し付けくださいませ。
↓↓↓
新木経営情報研究所
部数に限りがあるため、30冊(30社)限定とさせていただきますが、進呈させていただきます。
ビジネス競争力を高めるためのお役に立てればと思います。
(6/12 無料進呈は、締め切らせていただきました。お問い合わせありがとうございました)
このたび、「マイナンバー法施行までに見直しておきたい情報セキュリテイ」と題して、講習会を開催させていただきます。
(当講習会は、経済産業省「平成26年度中小企業情報セキュリティ対策促進事業」として行われます。平成23年度より4年連続4回目の開催となります)
【日時】
2015年2月21日(土)10:00~12:00
【場所】
日暮里ひろば館
【対象】
中小企業経営者および情報セキュリティ担当者
【内容】
1.情報セキュリティが求められている
2.情報セキュリティって何?
3.マイナンバー法について
4.情報セキュリティとコンプライアンス
マイナンバー法、個人情報保護法、不正競争防止法など
5.情報セキュリティ対策をはじめよう
6.PDCAを回すために必須のこと
【費用】
無料
【定員】
15名(先着順)
【その他】
冊子「中小企業が知っておくべき情報セキュリティ対策」(86ページ)進呈
お申込み、お問い合わせは以下よりお願いいたします。
↓↓↓↓↓
新木経営情報研究所
皆さまのご来場を心よりお待ちしております。
9/8(月)に、青森商工会議所主催の「中小企業向けの情報漏洩対策セミナー」を担当させていただきます。
・情報利活用の重要性
・情報セキュリティとコンプライアンス
(個人情報保護法、不正競争防止法など)
・情報漏洩の実態
・知っておきたい情報セキュリティの本質
・自社の情報セキュリティ診断をしてみよう
・最低限これだけはやっておこう
経営の向かう方向と統合された情報セキュリティの取り組み方とは。
身の丈にあった経営に役立つ取り組みにお役に立てればと思います。
↓↓↓
青森商工会議所
「中小企業を危機から守る!情報漏洩対策セミナー」
日本ネットワークセキュリティ協会から、「2013年度情報セキュリティ対策マップ検討WG」の活動報告書がアップされています!
前職では、ほんとお世話になり、情報セキュリティのことをよく私に教えてくれた2人が参加されているWGです。
なので、ちょいと、ひいきしちゃいますよ(^^)/。
素晴らしい活動をされていて、嬉しい気持ちです!
↓↓↓
情報セキュリティ対策マップ検討WG活動報告書
ISMS(ISO/IEC27001)改定に伴う再構築作業をお手伝いすることができます。
中小企業を中心に30社ほどの構築実績を踏まえ、4回~6回程度のワーキングにより、身の丈にあった経営に役立つマネジメントシステムを構築していきます。
初回は以下の内容で進めることにより、規格の理解を深めていただき、再構築作業のボリューム感を確認していただきます。
1.主な規格改正の概要
・マネジメントシステムの共通フレーム化
・適用範囲の決定方法
・情報セキュリティ目的の設定
・リスクアセスメントの考え方
・力量の証拠とは
2.改訂にあたってのポイント(ISO/IEC27001)
・「ISMS基本マニュアル」サンプルを使って全体の確認をします。
3.改訂にあたってのポイント(ISO/IEC27002)
・「情報セキュリティ規程」サンプルを使って全体の確認をします。
2回目以降は、既存文書からの変更点を抽出しながら、チューニングしていきます。
お気軽にご相談くださいませ。
↓↓↓↓↓
新木経営情報研究所
情報セキュリティの取り組みは万全でしょうか。情報セキュリティの本質を理解し、経営に役立つ取り組み方について考えてみませんか。
【経営に役立つ情報セキュリティの取り組み!】
日時:2014年04月18日(金)13時30分〜15時30分
場所:Coconeri(ココネリ)内3階 研修室
〒176 -0001 練馬区練馬1-17-1
料金:無料
主催:東京商工会議所練馬支部
(内容予定)
1.情報利活用で飛躍しよう
2.情報セキュリティの本質・業務改善の仕組み
3.最低限これだけはやりたい、情報セキュリティ対策
4.コンプライアンスと情報セキュリティ対応との関係
5.取引先から「御社から情報が漏れたとしか思えない」と言われた時に、対応できますか? etc
お申し込みは、東京商工会議所イベントカレンダーからお願いいたします。
↓↓↓
東京商工会議所イベントカレンダー
中小企業経営者や経営幹部のご参加を心よりお待ち申し上げております。
お役に立てますようにがんばっていきます。
これからISMS、QMS、EMS、BCMSなどISO規格が改訂されていきます。
(ISMSはすでに昨年秋に改訂済)
どんな改訂かというと、それぞれのマネジメントシステムの構成が共通化されます。
共通部分の要求事項に、それぞれのマネジメントシステム固有の要求事項をプラスした構成となることから、複数のマネジメントシステムを導入している組織にとっては、取り組みやすくなることが見込まれています。
また、組織でのISOの取り組みを陳腐化させないためなのか、共通部分には、トップマネジメントの関与する部分が増えています。
ちなみに、共通部分の要求事項は「ISO/IEC専門業務用指針:附属書SL」に沿って構成されており、その部分は、ダウンロードすることができます。
http://www.jsa.or.jp/itn/shiryo-1.asp#shiryou2
先行するISMSは、日本規格協会より3月中に、JIS版も発行される予定になっています。
ISMS認証の改訂対応がいよいよ本格化されてきます。
ニーズにしっかり対応していきたいと思います!
このたび、「中小企業のための情報セキュリティ」と題して、講習会を開催させていただきます。
(当講習会は、経済産業省「平成25年度中小企業情報セキュリティ対策促進事業」として行われます。平成23年度より3年連続3回目の開催となります)
【日時】
2014年2月22日(土)15:30~18:00
【場所】
日暮里
【対象】
中小企業経営者および情報セキュリティ担当者
【内容】
1.情報セキュリティが求められている
2.情報セキュリティとは
3.現状を把握しよう
4.情報セキュリティとコンプライアンス
個人情報保護法、不正競争防止法、著作権法など
5.シミュレーションをしておこう
6.PDCAを回すために必須なこと
【費用】
無料
【定員】
15名(先着順)
【その他】
冊子「中小企業が知っておくべき情報セキュリティ対策」(86ページ)進呈
お申込みやお問い合わせは、以下よりお願いいたします。
↓↓↓
「中小企業のための情報セキュリティ」講習会
東京商工会議所発行の東商新聞に昨年、「中小企業のための情報セキュリティ対策」という全6回のコラムを掲載させていただきました。
それが、Webで閲覧することができるようになっているとは。有り難いです。
参考までにリンクしておきます。
第1回 情報セキュリティの本質は可用性にある
第2回 実は8割が内部のミス!?情報セキュリティ事故の実際
第3回 どこまで対策すればよいの!?
第4回 リスクポイントを洗い出そう
第5回 周知徹底は教育で、有効性は内部監査で
第6回 PDCAを回すために必要なこと
お役に立てられれば幸いです(^^)/
今回は連載5回目(最終回)です。
1回目の記事は、「情報セキュリティをはじめよう(1)」です。
前回までに中小企業がまず取り組むべき「情報セキュリティ対策」として、ステップ1から順を追って、ステップ3まで進めてきました。最終回である今回は、運用面から総括していきます。
■規程作成と周知徹底・教育の実施は、企業として“必須の取り組み”
ここまで進めてきたステップ3までの取り組みは必須です。
万が一、情報漏洩の事故が発生したとしましょう。その時に、迷惑をかけてしまった皆さまに、どのような説明ができるでしょうか。「情報セキュリティの取り組みは何もやっていませんでした」とは口が裂けても言えません。仮に、原因が他のところにあったとしても、すべての責任を押し付けられる可能性もあります。信用失墜につながり、一つの情報セキュリティ事故が命取りになってしまうことも大袈裟ではありません。
規程を作り、教育を実施しているということまでは、企業としての必須の取り組みだと位置づけ、関係者に説明ができるようにしておきましょう。
■PDCAを回そう!
ここまでのステップをPDCA(PLAN、DO、CHECK、ACTION)で回し、継続することができれば、情報セキュリティは維持されます。私の経験から情報セキュリティの取り組みのPDCAを回すために必要だと感じたことを3点に絞って説明します。
①情シスではなく“経営者”がリーダーシップを持って進めること!
情報セキュリティの取り組みはトップダウンで行うことが必須です。よく見受けられるうまく行かないケースは情報システム部門が中心になって構築しているケースです。それは“事故0件”などという部門の目標を達成させるために難しい対策、すなわち現場からするとやらされる対策になってしまいがちなのです。
組織の壁がない唯一のポジションは“経営者”であることを肝に銘じて進めていきましょう。
②メンバーに職責を与えること!
情報セキュリティの取り組みを特別に与えるのではなく、業務改善活動の一環として位置づけることでも充分です。
いま、品質会議を開催しているのであれば、それに情報セキュリティの要素を加え、確実に進めていきましょう。
③隠さずに報告…事故や予兆の報告を“評価”すること!
情報セキュリティの取り組み・改善のきっかけとなるのが、事故や予兆から学ぶ姿勢です。それには、現場が事故や予兆などの事象を隠さず上げてくれる仕組みづくりが重要となります。同じミスを繰り返さないための改善の提案である位置づけだと考えると、報告者は評価されるべきです。
また、現在の運用で、もし「事故連絡票」のような堅い名称だったとしたら、「改善提案報告書」という名称に変えることでも、報告が出やすくなるかもしれません。
■「事故前提社会」を意識して、事前にシミュレーションをしておくこと!
最後に、事故前提社会というのをあげます。日々、外部環境が変化していく中で、対策をしっかりやっているからといって事故が起こらないということは決してありません。事故に対して、敏感な反応を起こさず、事実を冷静に受け止めて、適切で素早い対応を行うことが不可欠となります。
そのためには、業務遂行において、支障をきたす恐れのある事象で、かつ可能性が高い事象を想定して、シミュレーションをしておきましょう。
たとえば、取引先から「お宅から送られてきたメールにウイルスが入っていた」と言われて、迅速かつ適切な対応をすることができるかシミュレーションをしておくことで、新たな課題が抽出されます。それに対し事前に手を打っておきましょう。
こうした取り組みは、BCP(事業継続計画)の策定ともつながります。次なるステップとして、BCPを策定することで、企業の情報セキュリティ力が、さらに強化されるものと考えます。
以上です。
身の丈にあった経営に役立つ情報セキュリティの取り組みで、ビジネス競争力を高めていきましょう!
一つでもヒントがあったとしたら、幸いです。
*当記事は、「キーマンズネット中小企業ITコラム」に掲載いただいたものを一部改訂して掲載しています。
連載4回目です。
1回目の記事は、「情報セキュリティをはじめよう(1)」です。
前回からの続きで、(ステップ3)に進んでいきます。
(ステップ3)情報セキュリティ教育で周知徹底しよう
規程を周知徹底させる手段としては、やはり教育をすることです。最低でも、年に1回は実施しましょう。
教育のゴールが「従業員に規程を理解してもらい、しっかりと守ってもらうこと」だと考えれば、自社に専門家がいなくても、また、外部講師にお願いすることもなく、教育を開催することができます。
■「これだけは守ろう10ヵ条」を読み合わせよう!
その最も手っ取り早い方法が、規程の読み合わせです。
集合研修形式で、条項を順番に確認していきます。まずはこれができれば十分です。
しかし、欠点が1つあります。規程は、管理者が実施する条項も含まれてくることから、従業員にとって関係のないものも一緒にインプットされてしまい、難しく感じてしまうことです。
一度に多くのことを求められても守れるわけがありません。企業として、「教育をした」という実績に満足してしまうだけの教育になっては意味がありません。
そこで、筆者がよく実施している方法は、「これだけは守ろう10ヵ条」というような、どうしても優先的にかつ確実にやっておきたいことを絞り込んで読み合わせをすることを推奨しています。
■教育を生かす2つのポイント!
「コミットメント」と「フィードバック」
教育を生かすためにも重要なのが、教育終了後の対応です。キーワードは、「コミットメント」と「フィードバック」です。終了後のアンケートに、必ず2つの質問を入れておきましょう。
1つめは、「あなたはこの1年間でどのようなことに注意して取り組んでいきたいと思いますか?」という問いです。書かされることで「コミットメント」になります。意識が高まり、書いたことはしっかりとやらなければならないという動機づけにつながることも期待できます。
2つめは、「規程のなかで実施が難しいものがあれば教えてください。また、代替案があれば提示してください」という項目を入れましょう。そして、そこから出てくる声を確実に「フィードバック」してあげましょう。
次回(最終回)は、情報セキュリティの取り組みの「PDCA」を回すために必要なことを紹介するとともに、運用面から総括していきます!
連載3回目です。
1回目の記事は、「情報セキュリティをはじめよう(1)」です。
前回からの続きで、(ステップ2)からです。
(ステップ2)規程を作ろう
自社状況を把握したら、続いて、「規程を作ること」に進んでいきます。
規程を作るというと、本来ならば、リスクアセスメントを実施して、条項を決定していくという手順を踏みます。しかし、そんなに手間をかけるのは大変だという声をよく聞きます。まずは、出来るところからスタートさせていきたいところです。
いちばんの手は、(ステップ1)で用いた、チェックリストの語尾の疑問文をそのまま、「~すること」に替えることです。それだけで25項目の規程を策定することができます。
ex)
「パスワードは自分の名前を避けるなどのように、他人に推測されにくいものに設定していますか?」
→「パスワードは自分の名前を避けるなどのように、他人に推測されにくいものに設定していること」
ただ、チェックリストは、一般的なものであり、これだけやれば充分というものではなく、各社の特徴を反映させたものではないという点について、留意する必要があります。
その特徴を反映させる方法として、手間をかけず効率的に進めていくならば、次の2つの方法を推奨します。
■自社を中心に境界をまたぐところにリスクが無いかをチェックする
1つめは、まず、枠を5つ書きます。「自社」を真ん中とし、上側に「インターネット」、左側に「仕入先」、右側に「顧客」、下側に「取引先」という具合です。「自社」を中心として、それぞれの枠間では、どんな情報がどのようなやり取りをしていますか。自社内でコントロールできる領域とそれ以外の領域との境界をまたぐ情報の取り扱いについては、優先的に考えておきましょう。
■重要情報を特定する
もう1つは、情報セキュリティの「機密性」、「完全性」、「可用性」という3つの観点が維持できない状態になったときに、ビジネスへの影響が大きいと思われる情報を特定しましょう。
すべての情報において一律の対策をする必要はありません。重要情報に絞り対策することで、従業員にとっても重要な情報は何なのかを考えながら、かつ、やりすぎず効率的に有効な対策を実施していけるものになります。
重要情報を特定したところで、 以下「4つのポイント」における現状を確認してみましょう。そして、それをどうすべきなのかを検討し、規程のなかに組み込んでいきましょう。
● メディア変換(スキャンやコピーなど)
● 移送(手持ち、電子メールなど)
● 消去・破壊
● 保管
次回は、(ステップ3)に進んでいきます。
連載2回目です。
前回の記事は、「情報セキュリティをはじめよう(1)」です。
「情報セキュリティ対策」といっても、どこまでやればいいのか。また、実施していることで充分なのかが分かりづらいものです。
(ステップ1)現状を把握しよう
(ステップ2)規程を作ろう
(ステップ3)情報セキュリティ教育で周知徹底しよう
以上の3つのステップに沿って、話を進めていきます。
(ステップ1)現状を把握しよう
身の回りの気づいたところから、セキュリティに関する問題点をどんどん洗い出すこともできるでしょうが、やはり、漏れが発生してしまったり、これでいいのかなと不安になることもあるでしょう。
そこで、現状を把握するのに最も手軽に、かつ無料で利用できる、お薦めのツールを紹介させていただきます。
IPA(情報処理推進機構)
「5分でできる中小企業のための情報セキュリティ自社診断」
「保管について」「持ち出しについて」など、基本的な取り組みが13項目に分類されており、そこから25個のチェック項目があり、どの企業にも該当すると思われる入門レベルの取り組みが網羅されています。最低限やっておかなければならない項目だと思ってよいでしょう。
また、このチェックシートのいいところは「はい」「いいえ」の2択ではなく、「実施している」「一部実施している」「実施していない」「わからない」という4段階の成熟度で評価ができるようになっている点です。
各チェック項目において、「実施していない」であれば「一部実施している」、「一部実施している」であれば「実施している」にそれぞれ近づけていきましょう。
セルフチェックを行うことによって、自社で最低限取り組まなければならないことや、自社の立ち位置を確認することができます。現状と目指さなければならない姿との間には、ギャップがありましたか。ギャップがあったならば、それを埋めるためにアクションプランを作成していきましょう。各項目を闇雲に実行していくのではなく、自社にとって何が重要であるのかを優先順位を決めて一つひとつ着実に進めていきましょう。
次回は、(ステップ2)に進んでいきます。
情報セキュリティをはじめようと題して、数回に分けて掲載していきたいと思います。
今回は、その第1回目です。
1.セキュリティは今や企業における“必須課題”です!
自社の情報セキュリティの取り組みは万全ですか。株主、消費者、取引先のみならず社会全体から、情報セキュリティ対策の実施が求められています。いまや対応することが必須という中、やらされていると思って取り組んでいては、コストにしかなりえません。
そうならないように、情報セキュリティの本質を理解し、能動的に取り組んでいきたいものです。
2.ポイントはシンプル!情報セキュリティの考え方
まず、情報セキュリティの本質を理解するうえで、情報セキュリティの定義について共有しておきます。定義では、『情報の「機密性」、「完全性」、「可用性」を維持すること』となっています。
■「機密性」
情報資産を正当な権利を持った人だけが使用できる状態にしておくこと。
(対策例:ウイルス対策ソフトの導入、ファイアウォールの設置、サーバのアクセス権制御、データ暗号化、鍵付き書庫への保管など)
例えば、パソコンにパスワードを掛けるのは、機密性の対策の1つです。自社の情報を識別し、正当なアクセス権を設定しておくことで、情報を正当な権利を持った人だけが使用できる状態にしておきましょう。
■「完全性」
情報資産が正当な権利を持たない人により変更されていないことを確実にすること
(対策例:ウイルス対策ソフトの導入、ファイアウォールの設置、データ入力時の二重チェックなど)
例えば、ホームページを改ざんされた場合、完全性が維持できていない状態と言えます。ソフトウェアのセキュリティパッチを充てておくことなど、常に最新の脆弱性についてもチェックしておきましょう。
■「可用性」
情報資産を必要なときに使用できること
(対策例:UPS(無停電電源装置)の設置、ハードディスク二重化、データバックアップなど)
例えば、ハードディスクの故障により、データにアクセスすることができなくなり、業務が止まってしまったというと可用性が維持できていない状態と言えます。データの二重化をしたり、バックアップデータを取得しておくことなど、万が一に備えた対策を実施しておきましょう。
「機密性」、「完全性」、「可用性」の3つに重み付けをすると、個人情報保護法の影響もあり、「機密性」が重視されがちですが、果たしてどうでしょうか。いまや企業間の情報交換がなく市場に製品やサービスが提供されているというケースはまれで、企業間はつながっています。必要なときに使用できるという「可用性」のウェイトを高く考えてみてはいかがでしょうか。そうすることで、情報セキュリティの取り組みを、やらされることばかりではなく、ビジネスを止めない、関連企業からも満足を得られるための業務改善の一環として生かしていきましょう。
経営者のリーダーシップによって、情報セキュリティの一連の取り組みを経営に直結させていきましょう。そのためには、情報セキュリティの取り組みの最終目標は経営目標の達成であるという思いを従業員全員に伝え、共有してスタートしていきましょう。
(第2回に続く)
*当記事は、「キーマンズネット中小企業ITコラム」に掲載いただいたものです。
本日は、「中小企業のための情報セキュリティ」と題して、経済産業省「平成24年度中小企業情報セキュリティ対策促進事業」の一環としての講習会を開催させていただきました。
16名の経営者の皆さまに参加いただきました。どうもありがとうございました。
【日時・場所】
2013年2月7日(木)19:00~21:30 江戸川区小松川さくらホール
【対象】
江戸川北法人会青年部第1ブロック
【内容】
1.情報セキュリティが求められている
2.情報セキュリティとは
3.(ビデオ演習)情報セキュリティチェック
情報利活用の必要性について触れたあと、情報セキュリティについて、「5分でできる!中小企業のための情報セキュリティ自社診断」により、セルフチェックをしていただきながら、最後はビデオを流し、その内容についてディスカッションしていただきました。
とても楽しく進めることができました!感謝です。
一つでもヒントになっていたら幸いです。
先日行われました情報セキュリティ格付セミナーが日経の記事になりました。
私も関わらせていただいていますので、格付けや第三者証明に興味があれば、お声かけくださいませ!
財務諸表には表現できない目に見えない付加価値を見える化しています!
↓↓
第3回情報セキュリティ格付セミナー(主催:情報セキュリティ格付け制度研究会)
BCPの取り組みは外部からは見えづらいものです。
そこで、ビシッとやっているなら可用性をアピールしたいものです。
経済産業省「ITサービス継続ガイドライン」に基づき、対応ができているかどうかを第三者が証明するというサービスが開始されます。
ご興味のある方は、ぜひ参加されてみてはいかがでしょうか。
直近ですが、10/26(金)13:00~虎ノ門です。
詳細及びお申込みは以下まで!
↓↓↓↓↓
第3回情報セキュリティ格付セミナー
レノボの「中小企業IT指南塾」の「中小企業視点からのITトレンドウォッチ」にコラムを掲載いただきました。
(第3回)BCPは特別な取り組みではない!
~ 事象を洗い出して優先順位を決定し、シミュレーションをしよう ~
↑↑中小企業視点からのITトレンドウォッチ
アクセスいただければ幸いです。
そして、一つでも経営に役立つヒントがあればうれしいです!
どうかよろしくお願いいたします。
| 日 | 月 | 火 | 水 | 木 | 金 | 土 |
|---|---|---|---|---|---|---|
| - | - | - | - | - | 1 | 2 |
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 | - | - | - | - | - | - |
Author: 新木 啓弘
(しんき よしひろ)
徳島県出身/東京都在住
株式会社インフォクリエマネジメント 代表取締役
中小企業診断士
ITコーディネータ
ISMS審査員
ターンアラウンドマネージャー(NPO法人金融検定協会認定)
砂にこぼれた雨の滴が
川と流れて海に向くように
人は生きて何を残そうか?
こんな小さな命だけど・・・
「からっぽのブルース」より