民間企業への優遇措置も! 政府が進めるサイバーセキュリティ指針とは?!

2016/01/18
サイバーセキュリティのイメージ図

政府は民間企業が参考にするサイバーセキュリティー指針を、2015年に策定しました(20151228日公表)。この指針では、民間企業は、サイバーセキュリティについて、投資家への情報開示方法を示すほか、企業の組織体制や技術的対策の手法などを明記することにしています。マイナンバーを狙う国内ハッカー集団の各種サイバー攻撃や海外からの企業の技術情報の奪取などを狙うもののほか、最近では、工場内の生産システムを狙って機械類の暴走事故などの脅威も高まっています。危機意識の低い民間企業に対して警鐘を乱打する狙いがあります。

しかし、この指針を報道する記事にしても、なお、切迫した危機意識は感じられません。政府が民企業に指針を発表しなければならないことすらも危機意識の低さを物語っています。サイバー攻撃の被害を受ければ、企業は存亡の危機に立たされるほど致命的な打撃を受ける懸念が出始めています。本来は民間企業自身がそのリスク回避のために諸策を講じなけれならないところですが、その動きがあまりに鈍いために、業を煮やして指針を出すのです。指針を出しても民間企業の危機意識が低ければ実効性は小さくなりますが、それでもないよりはマシなのではないでしょうか。政府の指針に耳を傾けて欲しいです。

情報セキュリティの責任者は、対策を講じられるだけの知識と経験が必要

この指針は内閣サイバーセキュリティセンター(NISC)と経済産業省などが中心となって策定します。企業にとって最も強い発言力をもつのは株主、つまり投資家です。その投資家への「情報開示」を強く促します。この点については米証券取引委員会(SEC)の取り組みを参考にします。企業が公開する有価証券報告書などにサイバーリスクに関する項目を設けるように促しますが、その際にはセキュリティチェックを行わなければなりません。その過程で現在、システムが置かれている危険な状態に気づいてもらい、早急に手を打つように背中を強く押すのが狙いです。

また、「情報セキュリティー対策を統括するCISO(最高情報セキュリティー責任者)の設置を求めるなど組織のあり方を盛り込む」としていますが、これまでのように「肩書」だけを作っても意味がありません。個人情報や機密情報の管理はもちろん、サイバー攻撃が起こった際には対策責任者となれるだけの知識と経験をもった人物がCISO(最高情報セキュリティー責任者)にならなけれいけません。しかし、現実には企業の中には皆無です。社会全体にも適した人材はほとんどいません。

指針を作ればサイバーセキュリティ対策が進行する、と勘違いしてはなりません。

技術面でも言及します。記事では「サイバー攻撃を未然に防ぐ対策の徹底を促す」として、具体策として、「個人情報の入った端末を社内ネットワークにつなげないようにする」など、攻撃を受けても被害が広がらないような体制の構築も求めることにしています。

個人情報保護に関するJAPiCOマークのような体制構築の目標となる「第三者認証」の仕組みも必要になります。その仕組みとは、投資家や取引先などが企業を選択する際に評価基準を提供するものです。これを促進するには、経産省、総務省などの官公庁が発注する場合には、認証をとっている企業が優遇されるような制度を確立し、認証を受けると有利な条件が得られることを明確にすることも重要で、こういった制度改革も政府は検討していくようです。

中島 洋
1947年生まれ。東京大学大学院修了。73年日本経済新聞社入社、88年から編集委員。日経コンピュータ、日経パソコンの創刊にも参加。慶応義塾大学教授や日経BP社編集委員などを経て現在、株式会社MM総研代表取締役所長。日本個人情報管理協会理事長など多くの肩書を持つ。

 

所属:株式会社MM総研

関連記事

新着記事

  1. 2018/05/23 時代のクラウド移行の流れもあり、Office365を導入する企業が増えて…
  2. 2018/05/22 ガートナー、全社員のIT活用力強化に向けた3つの施策を発表 企業がデジタル…

おすすめ記事

  1. クラウド選びに悩む、そんなとき 今やたくさんのサービスが存在するパブリッククラウド。いろいろ検…
  2. 2019年を境に、IT業界は深刻な人手不足に突入します もう、20年も前のこと。「2000年問…

登録されているプレスリリースはございません。

ページ上部へ戻る