第三回目の今回は、Part3の「組織としての対策」について説明します。
目次[表示]
Part3 組織としての対策
21.個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確にしていますか
| ① | 個人所有端末の業務利用を許可制にし、利用時のルールを決める | 通常は、従業員が使用するPCは会社から貸与しますが、特殊事情により、従業員が個人用に使用しているPCを業務利用せざるを得ない場合があります。そのような時は、業務利用するときの使用ルールを明確にし、従業員に周知する必要があります。特に、業務が終了した時のファイルの管理(削除等)や、当該PCを廃棄する際の手続き等が気になります。また、誰にでも適用するのではなく、許可制などを考慮すると良いでしょう |
| ② | テレワークで個人所有端末やWi-Fiルーター、家庭のインターネット回線を利用する場合のルールを決める | 同様にテレワーク時の利用PCに、個人用PCを利用する際のルール、あるいはWi-Fiルーターの設定ルールやインターネット利用時のルールなどを決めておく必要があります |
22.重要情報の授受を伴う取引先との契約書には、秘密保持条項を規定していますか
| ① | 秘密保持や具体的な対策を明記した契約や覚書を交わす | 重要情報を取り交わしている取引先(業務委託先、仕入先など)とは、自社と同レベルの情報セキュリティ対策を行うよう、契約書に盛り込む必要があります。また、秘密保持条項も契約書に規定しておく必要があります 仮に、業務委託している取引先起因による情報漏えいだとしても、得意先は自社の過失と判断します。自社には、取引先の情報セキュリティのおける管理責任があります |
| ② | 情報セキュリティ対応方針を公表している取引先を選定し、情報セキュリティ対策の実施状況を確認する | 左記に限らず、取引先の情報セキュリティ対策の状況を確認する必要があります。契約書に監査を行う旨の記載ができれば良いですが、多くの場合はできません。代替となる対策は、書面監査です。確認したい事項を記載して取引先に送付し、期限を切って回答してもらうことで監査の代替とすることは可能です。実施できていない事項があれば、対応を依頼する必要があります |
23.クラウドサービスやウェブサイトの運用等で利用する外部サービスは、安全・信頼性を把握して選定していますか
| ① | 利用規約や補償内容、セキュリティ対策などを確認して事業者を選ぶ | クラウドサービスの利用に際しクラウド事業者を選定する時は、サービス内容だけではなく、補償内容やセキュリティに関する事項など、いくつか確認して選定することが望ましいです。 他にもいろいろ確認した方が良い項目がありますが、詳しくは当コラムに掲載している「企業向けクラウド活用:選定から運用までの完全ガイド」をご覧ください |
| ② | テレワークでクラウドサービスを利用する場合は、会社で選定したサービスを利用する | ここで言っているクラウドサービスは主にデータストレージを指していると思われます。会社が契約しているデータストレージはセキュリティがしっかりしているものを選定しているハズで、個人で利用しているものは、場合によっては無料のものもあり、セキュリティ面の脆弱性が懸念されます。個人で利用しているデータストレージに業務データを保管してはいけません |
24.セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか
| ① | 重要情報の流出や紛失、盗難があった場合の対応手順書を作成し従業員に周知する | 情報セキュリティの運用時にもう一つ重要なことは、情報セキュリティ事故の管理です。重要情報の漏えいや紛失、盗難が発生した場合はすぐに対応を取る必要があります。そのため、情報セキュリティ事故が発生した場合の対応手順を手順書にまとめ、情報セキュリティ教育の機会にでも全従業員に周知する必要があります。手順書で大切なことは、対応まで記載すれば良いのではなく、対応策が有効だったかどうかの判断まで必要です(つまり、取った対応策が再発防止に有効かどうかの判断) |
| ② | テレワークでウィルス感染、パソコンや書類の紛失、盗難など事故が起きた場合の連絡先を決め、テレワーク勤務者に周知する | テレワーク時に発生した情報セキュリティ事故(ウィルス感染、ノートPCや書類の紛失・盗難等)の対応手順も合わせて整備する必要があります。事故が発生したらすぐに連絡をもらい、すぐに対応することが重要なので、連絡先を決めてテレワーク勤務者に周知しておく必要があります |
25.情報セキュリティ対策(上記1~24)をルール化し、従業員に明示していますか
| ① | 情報セキュリティ対策として、診断シート項目のNo1から24までをルール化して社内で共有する | ここまで説明してきたことを社内の情報セキュリティルールとして取りまとめます。ルールをいくつかに分類してまとめることが必要です。そしてルール化した内容のうち重要なことは情報セキュリティ教育の場で説明するとともに、従業員がいつでも確認できるよう、例えば共有フォルダなどで公開する必要があります |
| ② | 一度決めたルールでも問題があれば改善する | ルールを策定した時点では正しいと思っていても、運用していくうち、自社のレベルの会社では厳しすぎるのではないかとか、逆にもっと厳しいルールにしないと情報が漏えいするリスクが大きいなど、不都合な事情が発生してくることがあります。その場合は、そのまま運用するのではなく、経営者を含めて議論し、どういうレベルにするか協議し改善する必要があります ※本来、このような場合にはリスクアセスメントを行ってルールのレベルを判断することが合理的です |
| ③ | テレワーク時のルールを規程にまとめ社内で共有する | ここまで、テレワーク時のリスクをいくつも取り上げてきましたが、これらをまとめてテレワーク規程などのように整備し、社内で共有する必要があります |
コンタクト
以上でIPAが公開している「SECURITY ACTION」の解説は終了です
個々の対策について支援が必要な場合は、是非「コンタクト」のページからご連絡ください
コンタクト - Keni総合コンサルティング(Keni Integrated Consulting) (keni-consulting.com)