情報処理推進機構(IPA)は2009年3月18日、中小企業に向け情報セキュリティ対策ガイドラインを発表した。企業に必要な情報セキュリティ対策のうち、中小企業が実施すべき具体策をまとめた。情報システム責任者を置けなかったり、対策経費をかけられない企業などを対象とする。何をすべきか分からない企業に具体的な解決策を明示するのが目的だ。
今回発表したガイドラインは「自社診断シート」「企業の組織的ガイドライン」「委託関係におけるガイドライン」などで構成する。自社診断シートは中小企業が最低限実施すべき対策を25項目にまとめた点検表。企業は25項目について「実施している」から「わからない」まで4段階で評価することで、自社の情報セキュリティ対策状況を100点満点で採点できる。
組織的ガイドラインでは企業が「共通して実施すべき対策」と「企業毎(ごと)に考慮すべき対策」を分けてまとめている。個人情報や取引先の機密情報を自社で保持し、情報漏洩などにより流出の恐れのある企業が対象だ。企業毎に考慮すべき対策では「従業員の情報持ち出し」「外部サービスの無許可利用」など10の具体例を挙げて対策を示している。
委託関係におけるガイドラインは企業が業務委託先に対して明示する機密保持条項の例を示す。委託先に対して行う機密情報の指定、保持のために必要な対策の具体的な実施内容を明記したひな型となっている。
