IPAは3月18日、中小企業の情報セキュリティ対策に関する検討を行い、より具体的な対策を示す「中小企業の情報セキュリティ対策ガイドライン」を公開した。

同ガイドラインでは、中小企業の情報セキュリティ対策として実施すべき具体的な対策事項を選択抽出したものであり、その中でも特に最初に取り組むべき項目を、以下の2種類の別冊としてまとめている。

・5分でできる自社診断シート (「中小企業の情報セキュリティ対策ガイドライン」別冊3)
・中小企業における組織的な情報セキュリティ対策ガイドライン (同 別冊2)

また、個人情報や営業秘密など情報管理の重要性への意識が高まっているが、守るべき機密情報そのものや、その取り扱い方が業務委託時に明確にされていない場合も多く、発注者と受注者それぞれの対策事項が明確でない取引が行われているという。このため、業務委託契約に係る機密保持条項(例)および委託先における情報セキュリティ対策事項については、「委託関係における情報セキュリティ対策ガイドライン」(「中小企業の情報セキュリティ対策ガイドライン」別冊1)としてまとめた。

中小企業の情報セキュリティ対策ガイドラインの構成

ガイドラインの内容は以下の通り。

「5分でできる自社診断シート」
中小企業にとって情報セキュリティ対策が難しいと考えられている要因の1つとしてリスク分析が挙げられることから、最低限実施すべき情報セキュリティ対策を25項目に絞り、経営者や管理者のための自主点検表として作成したもの。

「5分でできる! 中小企業のための情報セキュリティ自社診断」パンフレット表

中小企業における組織的な情報セキュリティ対策ガイドライン
個人情報や取引先の機密情報を保持し、情報漏洩などでこれらの情報が流出する可能性のある中小企業を対象に策定したもの。中小企業であれば共通して実施すべき対策と企業ごとにそれぞれの特徴を考慮して実施すべき対策をまとめている。

「組織的な情報セキュリティ対策ガイドライン」の例

委託関係における情報セキュリティ対策ガイドライン
「業務委託契約に係る機密保持条項(例)」と「委託先における情報セキュリティ対策事項」からなる。

前者は、取引基本契約書や売買契約書・発注書等を通じて定める機密情報の取扱いに関する事項を、委託元が行うべき事項も含めてまとめたもの。 後者は、委託先企業が実施する情報セキュリティ対策事項について企業で実際に使用している事例を収集し、具体的な対策事項の例として策定した。

ガイドラインの活用方法