最新セキュリティマネジメント（第36回）SECURITY ACTION宣言で全社の意識を変える

　調査では「経営層の情報セキュリティ対策に関する意識の向上」につながったと回答した割合は、小規模な事業者に多く見られる傾向が強かった。「従業員による情報管理や情報セキュリティに関する意識の向上」では従業員数が51人から300人の事業者の割合が多くなっている。

　ここから推測できるのは2つ。まず、小規模事業者はもともと経営層が情報セキュリティに関心を持つ機会が少なく、ある程度の規模の企業は情報セキュリティ教育が不足しがちだったことだ。そして、SECURITY ACTION宣言による取り組みは、前者では経営層が、後者では従業員がセキュリティに対する関心を高めるきっかけになったということだろう。

　SECURITY ACTION宣言は、取り組み目標に応じて「★一つ星」と「★★二つ星」の2種類がある。「★一つ星」は「情報セキュリティ5か条」への取り組み宣言が求められる。「★★二つ星」はIPAが提供している「情報セキュリティ自己診断」の実施と、情報セキュリティ基本方針を策定し外部へ公開することが求められる。

　調査からは取り組みを通じた宣言が意識変化につながり、意識変化により事業者が情報セキュリティ対策への継続的な取り組みを推進するという好循環が生まれていると分かる。全体の60％が何らかのセキュリティ対策を1年以内に実施、あるいは実施予定だと回答しているのだ。

　一方、問題点として挙げられるのは人材面だ。38.6％が「情報セキュリティ対策を行うための人員が不足している」と回答し、33.3％が「情報セキュリティ対策の知識を持った従業員がいない」と回答している。セキュリティ人材の問題はSECURITY ACTION宣言にかかわらず、中小企業全体に共通する課題だろう。

　情報セキュリティ対策の実践や強化のために必要な支援策でも、「国や自治体からの情報セキュリティ対策導入、運用に係る補助金」に続いて「従業員に対する情報セキュリティ対策教育に活用できるツールの提供」「情報セキュリティ対策を進める際に参考となるガイドラインの提供」が挙げられている。

　IPAのサイトでは教育ツールやガイドラインが数多く提供されており、このコラムでもいくつか紹介してきた。人材不足の解決のために、これらの活用を改めて考えてみてほしい。