写真1●経済産業省が公表した「サイバーセキュリティ経営ガイドライン」
写真1●経済産業省が公表した「サイバーセキュリティ経営ガイドライン」
[画像のクリックで拡大表示]

 経済産業省は2015年12月28日、経営者がサイバー攻撃から企業を守るための理念や行動を具体的に記した「サイバーセキュリティ経営ガイドライン」を公表した(写真1)。国による経営者向けの指針は初。順守すればサイバー保険の割引が受けられるだけでなく、裁判での免責につながる可能性が高い。

 同ガイドラインは付録を含めて30ページ強の内容に過ぎないが、経営者がサイバーセキュリティに主体的にかかわる必要性を国として初めて打ち出した。大企業や中小企業を対象とするが、「小規模事業者でもITサービス提供事業者や、取引先と重要情報をデジタルデータでやり取りするような製造業などは対象範囲」と経産省の担当者は話す。ITの利活用が進む今、ほとんどの企業が対象となると捉えるべきだろう。

「サイバーセキュリティは経営問題」と明記

 経営者が最低限読んで理解し、守るべきなのは冒頭の2ページだ。「忙しい経営者でも読んでもらえるよう、意図的にこの分量に収めた。ITリテラシーが必ずしも高くない経営者に納得してもらうため、専門用語も排除した」(経産省の担当者)。

 冒頭1ページ目の「サイバーセキュリティ経営ガイドライン・概要」では、一番最初に「サイバーセキュリティは経営問題」と明記して経営者の意識改革を促した。さらに経営者が認識する必要のある3原則を提示した。3原則は次の通りだ。

(1)経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

(2)自社はもちろんのこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要

(3)平時および緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応にかかる情報の開示など、関係者との適切なコミュニケーションが必要