経営者が認識すべきセキュリティ3原則

　企業規模の大小を問わず、問題が生じたときに経営者の責任が問われるのは世の常だ。例えば、自社製品に瑕疵（かし）が見つかった場合、直ちに製品を回収し、原因を究明するとともに、経営者は顧客や取引先、株主に対して説明責任を果たさなければならない。

　それでは、情報セキュリティに関わる事故の場合はどうだろうか。外部からのサイバー攻撃を受けて、社内で保管していた顧客情報が流出する。あるいは製品の設計・製造・販売情報などを管理するサーバーがシステム停止を余儀なくされる。そういった事態になれば、企業活動そのものが大きな影響を受ける。当然、ステークホルダーに対して説明責任が生じる。

　企業のパソコンやサーバーのデータに暗号をかけて使えなくし、復号のために身代金を要求するウイルス、ランサムウエアが猛威を振るったのは記憶に新しい。他にも特定の企業を狙った標的型攻撃など、犯罪者の手口は巧妙化しており、いつ被害者になっても不思議ではない。情報セキュリティ事件に巻き込まれると厄介なのは、サイバー攻撃の被害者になるだけでなく、加害者になる恐れがあることだ。

経済的損失だけでは済まない事態に

　自社のパソコンやサーバーを踏み台に取引先が攻撃された場合、被害者ではなく加害者として非難される。被害の程度によっては、取引先から金銭的な損害賠償を求められる。売り上げにも響き、経済的な損害は避けられない。

　また、取引先の設計データのような機密情報が流出したり、顧客の役職、氏名など個人情報が漏洩したりした場合、重要な情報を守れなかった企業として不名誉な烙印（らくいん）が押される。他の企業を含めた取引停止や、社会的な信用失墜も免れない。

　自社は大丈夫だろうと軽く見ている経営者は、まず認識を改める必要がある。情報セキュリティの取り組みは経営そのものであり、必要な対策を講じることは経営者の責務だ。対策を怠れば事業継続に赤信号がともりかねない。情報セキュリティ対策の重要性を再認識してほしい。

対策には経営者のリーダーシップが不可欠

　経済産業省と独立行政法人情報処理推進機構（IPA）が発行している「サイバーセキュリティ経営ガイドラインVer1.1」では、情報セキュリティ対策は経営者の判断が必要とした上で、経営者が認識すべき「3原則」を示している。

＜サイバーセキュリティ経営の3原則＞
（1）経営者は、IT 活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
（2）自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要
（3）平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要
（※出典：同ガイドラインP5）

　ポイントは自社だけで情報セキュリティ対策が完結しないことだ。日ごろから情報セキュリティリスクへの対応などについて、業務委託先や取引先とコミュニケーションを取っておく。平時から信頼性を高め、情報セキュリティ事故発生時には、関係者と適切かつ迅速にコミュニケーションを図れば、万一のときにも事故の影響を最小限にできる。信頼関係ができていれば、損害賠償などの大ごとにならずに済むかもしれない。

　経営者はこれら「3原則」への理解を進め、情報セキュリティ投資について判断する。経営者自身がリーダーシップを取って、情報セキュリティ対策を組織全体の取り組みとする。情報セキュリティ対策はネットワークやサーバー、電源など、多様な観点から施さなければならない。具体的な対策については、責任者を立てて業務として推進するべきだ。

　情報セキュリティ事故が万一起きたとき、自社のみならず、顧客・取引先への被害をいかに小さくするための対策を講じられるかどうか。まさに経営者の判断によるところが大きい。