2018年1月15日コラム

【第4話】「情報セキュリティ管理者」はなぜ必要か(渋屋隆一)

情報セキュリティ入門

情報セキュリティ管理者の仕事とは?

 これまで全3話を通じて、情報セキュリティの基本的な考え方や対策を紹介してきました。今回は、企業の情報セキュリティの中心的な役割を果たす「情報セキュリティ管理者」がテーマです。どのような仕事をするのか、だれがやるのが適任なのか、人材をどうやって育てればよいのかなど、情報セキュリティ管理者について詳しくお話します。

情報セキュリティ対策の実施体制

 情報セキュリティ対策を実施する体制は、一般的な中小企業では下図のようになります。




 体制を明示することには、2つの目的があります。1つは、社内で情報セキュリティ対策をしっかりと行うことの意思表明です。情報セキュリティ対策は、多くの社員にとって面白くない仕事です。売上などの成果に直結するわけではありませんし、主業務が忙しいと面倒に感じることもあるかもしれません。だからこそ社長が強いリーダーシップを発揮することで、対策が滞らないようにするのです。もう1つは、社外に対して安心を与えるためです。「御社の情報セキュリティ体制はどうなっているか?」と尋ねられたときには、役割や責任を定め、情報セキュリティ管理をしていることを伝えることによって、安心して取引できるパートナーと認められます。


中小企業における情報セキュリティ管理者の役割

 情報セキュリティの実施体制の中で、社長・情報セキュリティ管理者・各部門(従業員)に求められる役割は以下の通りです。

 まず社長(経営者)には、全社員が情報セキュリティに取り組むためのリーダーシップが求められます。情報セキュリティ管理者を指名し、体制を構築するのも社長の仕事です。このプロセスの中で、必要があれば、対策への投資も行う場合もあります。このほか、従業員に対する模範となることも、社長の重要な役割です。社長が機密情報を口外するなどしていたら、「口だけの対策」であると思われ、従業員はついてきません。率先して情報セキュリティ対策に取り組む姿勢を見せることが求められます。

 情報セキュリティ管理者は、情報セキュリティ対策の全てに関わります。過去の記事でも説明しましたが、情報セキュリティ対策は以下のようなプロセスを経て実施されます。




 このプロセスすべてに責任者として関わるのが、情報セキュリティ管理者の役割です。守るべき情報が何であるのかを特定するために、経営者や各部門へのヒアリングを行い、リスクを想定します。情報セキュリティ対策を企画し、必要に応じて経営者へ投資を求めます。情報システム部門との連携が必要になることもあります。その後、各部門の協力を仰ぎながら対策を実行します。その結果を受けてルールを作り、社内の情報セキュリティ教育を企画・実行します。また、緊急時・事故発生時の対応が求められますので、正に中心的な役割です。

 各部門(従業員)は、情報セキュリティ管理者の指示を受けて、日々の対策を実行します。部門の人数が多かったり、拠点が複数に分かれていたりして、情報セキュリティ管理者が全従業員と接するのが難しい場合は、各部門に情報セキュリティ担当者を立てることもあります。

 なお、ここでは3者の役割について触れましたが、規模の小さな会社では社長が情報セキュリティ管理者を兼務することもあります。それぞれの会社の実情に応じて、読み替えていただければと思います。

メールマガジン登録

閉じる

Biz Solution by docomoでご紹介するお客さまの声や最新モバイル活用事例など最新記事をご案内いたします。

  • ※ メールマガジンを登録いただく際、「個人情報の利用目的」を読んで同意される場合のみ、「同意して登録する」ボタンを押し、登録へお進みください。

お問い合わせ

閉じる

法人向けサービスに関するお問い合わせ、お申込みを承っております。
法人向けサービスに関係のないご質問・ご意見の場合、お答えできないことがありますのでご了承ください。