この記事は(一社)日本経営士会発行の「環境CSRニュース」で配信した記事の一部です。日本経営士会 環境CSRのホームページはこちらへ。 http://www.compact-eco.com
「中小企業の情報セキュリティ対策」 シリーズ①
情報セキュリティ対策が必要な理由
情報セキュリティ対策はコンサルタントとして知っておきたい重要項目です。
情報セキュリティ対策をおろそかにすると企業は多額の損害、顧客流出、信用の失墜等を起こします。
シリーズとして
① 情報セキュリティ対策が必要な理由
② 経営者としての役割
③ 管理者としての役割
④ 情報セキュリティ5か条
⑤ 情報セキュリティ自社診断
このような概要で学習をします。今回は①です。下記の文章で経営者となっている箇所は
経営者と同じ視点で、経営コンサルタントと読み替えて下さい。
●経営を揺りがしかねない高額な賠償金発生も
情報セキュリティ対策を実施して対外的にアピールすることで企業として評価を高めて売り上げを伸ばしている企業がある一方、情報セキュリティ対策を疎かにしたために秘密情報や個人情報の漏洩を発生させ、経営を揺るがしかねない高額の賠償金を支払った例もあります。企業の継続的な発展のために、適切な情報セキュリティ対策が必要です。
●情報セキュリティ対策を軽く考えると
現代社会では金銭や物品だけでなく情報にも価値や権利が認められます。これに応じて、情報に
係る法律の整備も進んでいます。例えば個人情報保護法では事業者に対して個人の権利利益の保護、安全管理措置及び委託先の管理監督が義務付けられており、これらへの違反が認められると行政指導が行われ、それに従わなかった場合には行為者や会社に罰金刑が課せられます。
また民法上の不法行為(故意または不注意によって他人の権利を侵害し損害を発生させる行為。)とみなされた場合は行為者本人が損害賠償責任を負う他、直接に関与していない経営者も原則として損害賠償責任(使用者責任)を問われることになります。
さらに場合によっては取締役や監査役は別途会社法上の忠実義務違反(職務などを忠実に行う義務のこと。会社法第355条では、取締役が株式会社のために、職務を忠実に行う義務があることを定めている。)の責任を問われることもあります。
こうした責任を果たすためには、担当者へのまる投げでなく、経営者が自社の情報セキュリティについて明確な方針を示すとともに自ら実行していくことが必要です。
情報セキュリティ対策は経営者が主導し必要な範囲を網羅し、関係者と連携して組織的に実施しなければ機能しません。経営者はこれらを認識したうえで必要となる取り組みを担当者に支持する必要があります。
一方、重要な情報とは事業にとって必要で組織にとって価値があり、漏えい、改ざん又は消失した時に大きな影響がある情報です。
例えば自社でウエッブサイトを運用したり、顧客情報や取引先の秘密をサーバー(さまざまなデータを保管するものです)で管理するなどIT業務を活用している管理責任がある立場の方は必ず最新の情報セキュリティ対策を行う必要があります。
具体的な担当者はパソコンやネットワークなどを管理する総務、情報システム担当者や、財務情報や従業員の個人情報をなどを扱う経理、人事労務などの担当者、設計図や顧客情報などを委託先に提供する際に情報セキュリティ対策を相手に求める製造や営業担当などが該当します。
●出典元は独立行政法人情報処理推進機構(略称IPA)
今回のシリーズは独立行政法人情報処理推進機構(略称IPA)の「中小企業の情報セキュリティ対策ガイドライン」第2.1版(2017年1月改定A5版54p CD付)を基にしています。
ご関心のある方は 03-5978-7508に電話して申し込んでください。1冊200円だそうです。
IPAは日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の独立行政法人です。