情報処理推進機構(IPA)は18日、中小企業の情報セキュリティに関し、具体的な対策を示す「中小企業の情報セキュリティ対策ガイドライン」を公開した。特に最初に取り組むべき項目を、2種類の別冊としてまとめたほか、業務委託時に行うべき具体的なセキュリティ対策を示す別冊も含まれている。
企業においてITの活用が進む一方、顧客データなどのネット上への流出・漏えい、情報システムの停止、データの破壊などが発生した場合、顧客からの信頼を大きく失墜することになるため、中小企業においても、情報セキュリティ対策に自社の問題として取り組む必要がある。
だが、従来の情報セキュリティ対策の進め方では、リスク分析を基にして、自社に合った対策基準や実施手順を策定することが必要で、「対策未実施の中小企業にとって導入に着手することは容易ではなく、何をすれば良いか分からないという状況になる場合があった」(IPA)。
こうした課題に対応するため、IPAでは今回、中小企業の情報セキュリティ対策として実施すべき具体的な対策事項を選択・抽出した「中小企業の情報セキュリティ対策ガイドライン」を公開した。
ガイドラインでは、中小企業が置かれた環境や法制度からの要請など、なぜ中小企業に情報セキュリティ対策が必要とされているかなどについて説明。さらに、3種類の別冊の使い方などについて述べている。
別冊では、特に最初に取り組むべき対策項目について、「5分でできる自社診断シート(別冊3)」「中小企業における組織的な情報セキュリティ対策ガイドライン(別冊2)」において明示。
「5分でできる自社診断シート」では、最低限実施すべき情報セキュリティ対策を25項目に絞り、経営者や管理者が自主点検できる。
別冊2の「中小企業における組織的な情報セキュリティ対策ガイドライン」は、具体的にどのような対策を行うべきかについて、「中小企業であれば共通して実施すべき対策」と「企業ごとにそれぞれの特徴を考慮して実施すべき対策」の2つに分けて検討した結果をまとめている。
さらに別冊として、業務委託において委託元から委託先に機密情報を提供する際、機密情報の取扱いに関する事項を示す「委託関係における情報セキュリティ対策ガイドライン(別冊1)」も公開。
このガイドラインでは、取引基本契約書や売買契約書、発注書などを通じておこなわれる機密情報の取扱いに関する事項について、「業務委託契約に係る機密保持条項(例)」として例示。
さらに、委託先企業が実施する情報セキュリティ対策についても、「委託先における情報セキュリティ対策事項」としてまとめている。