2017年11月13日コラム

【第3話】 失敗しない「セキュリティ対策」には何が必要か(渋屋隆一)

情報セキュリティ入門

「セキュリティ対策」を実行するには何が必要か

 第1話では「何を守るのか?」「情報を守らないと、どうなるのか?」、第2話では「お金をかけない対策」や中小企業の実態を紹介しました。今回は、これまでのおさらいと、セキュリティ対策を成功させるためのポイントや、全体を把握し多様なリスクに対応する「多層防御」の重要性についてお伝えします。


「方針」なくしてセキュリティ対策は成功しない

 セキュリティ対策を実施するには、経営者の強いリーダーシップが必要です。セキュリティ対策の「方針」を明らかにして、企業としてどのようにセキュリティ対策に取り組むのか、意志を示さなくてはなりません。多くの社員にとって面白くない情報セキュリティ対策は、経営者が「やる」と意識表明しなければ始まらないからです。最初に情報セキュリティ対策を行うと決めるのも、そのために人材を配置したり、投資を決定したりするのも、経営者の役割です。この役割を現場任せにしてはいけません。最初から現場任せにして情報セキュリティが浸透した組織はありません。

 では、セキュリティ対策方針とは具体的に何を決めればいいのでしょうか。まず、個人情報の扱いを見てみましょう。突然「個人情報を大切に扱え」とだけ指示されても、誰が、何をすれば良いのかわかりません。経営者はまず、個人情報保護に対する体制を整えることを表明します。体制の構築にあたって、まず情報セキュリティ管理者を選定し、人員を配置することが必要です。そして、情報セキュリティ管理者に対して、何が個人情報なのかを洗い出し、どのようにその情報を扱えば良いのかを検討するよう指示します。

 指示を受けた情報セキュリティ管理者は、実務全般を担当します。社内各部署の協力を得ながら社内の個人情報を洗い出し、その取り扱い方法を文書化します。さらには社内に通知し、教育を施したり、社員からの問い合わせに対応したりして、社内の意識を高めていきます。

 情報セキュリティ管理者は、経営者の意思を形にして実現していく、重要な役割です。このように対策方針の文書化や、一般社員への教育やヘルプデスク、さらには新たな仕組み(システム)の企画や導入管理も行います。経営者への報告をする一方、一般社員への通知・案内も行います。

 決定された対策方針にしたがって、一般社員は業務を行います。何か問題を発見したときには、速やかに報告するとともに、積極的な改善提案も期待されます。

 例えば、情報セキュリティ対策のためにパソコンの持ち出しを禁止されてしまい、業務効率が著しく落ちてしまったとします。それを肌身に感じるのは経営者でも管理者でもなく、一般社員です。受け身の姿勢ではなく、自らがより良いルールをつくる意識を持つことが肝心です。

 なお、ここでの経営者・管理者・一般社員という区別は便宜上のものです。規模の大きな会社では、もっと役割が詳細に分かれるかもしれません。逆に小さな会社では経営者と一般社員という2つになるかもしれません。それぞれの会社の実情に合わせて、読み替えていただければと思います。

メールマガジン登録

閉じる

Biz Solution by docomoでご紹介するお客さまの声や最新モバイル活用事例など最新記事をご案内いたします。

  • ※ メールマガジンを登録いただく際、「個人情報の利用目的」を読んで同意される場合のみ、「同意して登録する」ボタンを押し、登録へお進みください。

お問い合わせ

閉じる

法人向けサービスに関するお問い合わせ、お申込みを承っております。
法人向けサービスに関係のないご質問・ご意見の場合、お答えできないことがありますのでご了承ください。