サイバーセキュリティ経営ガイドラインとは?

各分野でITが占める領域が増えてきている昨今、ITで発生し得るセキュリティ問題に対しての指針は、セキュリティを専門とする会社では存在していたものの、2015年まで、公的な機関が明確に定めたものは存在していませんでした。

これらを経産省が旗印を取り、IPA(独立行政法人情報処理推進機構)などの独立した機関が協力し、2015年12月に完成したものが、『サイバーセキュリティ経営ガイドライン』です。
あくまで「ガイドライン」ですので、サイバーセキュリティに対しての最低限の指針であり、その先にはISO、プライバシーマークといったより上位の明確な認証制度が存在しています。

その内容は「経営者が中心となり、セキュリティのリーダーなどに対して取り組むガイドライン」となっており、「経営者が考えなければならない3原則」である「リーダーシップ」「ビジネスパートナーを含む視点」「日頃からの情報共有」と「セキュリティ担当者が取り組むべき重要10項目」から成っています。

サイバーセキュリティ経営ガイドラインのチェックすべき箇所

これらのガイドラインは、サイバーセキュリティという日進月歩の世界で取り組まれるべき内容になっているので何度も更新されており、最近では2017年11月に更新が行われました。現在のバージョンは2.0となっています。初期からの変更点を探ってみるとその変更の意義が見えてきますが、その中でも「重要10項目」の変化(追加)が欠かせません。
追加されたのは「リスク発生時の対応策の策定」と「復旧体制の整備」の2点です。セキュリティに対する攻撃が一般化してきた中で、「攻撃されないようにするという前提」から、「攻撃されてしまうことを前提」へと変化したことが理解できるはずです。今や事前準備だけではなく、「されたら」を考える時代になったということです。

サイバーセキュリティ経営ガイドラインの導入にあたって

実際にガイドラインの導入に取り組むにあたっては、セキュリティ担当者はまず重要10項目を確認してください。
同時に自社で策定しているセキュリティポリシーとの比較対照を行い、時代の変化である「リスク発生時の行動規範」が正に明確になっているかを考えるべきです。
自社で取り扱っている情報に何があるのか、その内容によってはリスク発生時の報告先の所轄官庁(状況に応じて総務省や金融庁、警視庁など)に確認する必要があります。
金銭の補償なども考えなくてはいけない場合には、経営者であれば補償体制を策定する必要もあるかもしれません。

最後に

再度記しますが、これはあくまで法律ではなく、指針です。
いざというときにスムーズな対応策がとれるように、自社に最適化していくのが経営者の指導であり、セキュリティ担当者としての役目と言えます。