14. 情報セキュリティポリシーの導入について

企業の情報漏洩がニュースとして頻繁に流れるようになった昨今、「情報セキュリティポリシー」を導入する企業が増えてきました。今回はこの情報セキュリティポリシーについてご紹介したいと思います。

情報セキュリティポリシーとは？

全ての企業に価値のある情報資産が存在します。その情報資産をありとあらゆる脅威から守ることが企業活動において重要なことは言うまでもありません。情報資産を守るために定められた、セキュリティ対策の方針や行動指針を「情報セキュリティポリシー」と呼びます。

具体的には「基本方針」「対策基準」「運用規定」「運用体制」といったものを具体的に策定しなければなりません。そして企業の規模や業務形態、及び情報資産そのものの性格を踏まえた上で、その内容に見合ったものを作成しなければなりません。

参考情報：総務省「情報セキュリティポリシーの概要と目的」
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-2.html

情報セキュリティポリシーは、前述したように会社の情報資産を情報漏洩のリスクから守ることが第1の目的となります。それと同時に、情報セキュリティポリシーを導入することで、その運用や規定順守を通じて社員や関係者の情報セキュリティに対する意識の向上を図れるというメリットがあります。

また情報セキュリティポリシーを掲げることにより、得意先や取引先といったステークホルダーに対する信頼と企業価値の向上を得るというメリットもあるのです。

情報セキュリティポリシーを導入する際に以下の三つのポイントは押さえておきましょう。

一つ目は「守るべき情報資産が何かを明確にすること」。二つ目は「実現可能な内容や運用体制を策定すること」。三つ目は「違反時の罰則を設けること」となります。これら3つのポイントがより具体的に記載されていることが大切です。

併せて情報漏洩を予防するための視点に留まらず、「その予防が破られた」場合の対応策についての視点も盛り込むことも必要です。

情報セキュリティポリシーを導入しても、世の中の動きや会社の状況は変化します。それに応じて常に万全な対策を施していくことが重要になります。そのためには実態に沿ったものであるかをチェックし、必要に応じて見直しを行い、そして改善を図らなければなりません。これを「PDCAサイクル」といいます。

PDCAサイクルとは、Pは「計画(Plan)」、Dは「導入・運用(Do)」、Cが「点検・評価(Check)」、Aが「見直し・改善(Act)」の意味であり、PとDだけに留まらず、C、Aを経て再度Pへとつながるサイクル方式にて運用・実施する概念です。

企業にとっては新しい法律や新しい脅威と対峙していく局面も多々あります。そのためにも情報セキュリティポリシーの見直しは必須のものであり、PDCAサイクルの導入によって常に適切なものにしておくことが必要です。

情報資産は今や会社に関わる全ての人の「共有財産」といっても過言ではありません。企業活動に不可欠なものとして情報セキュリティポリシーをご理解いただき、常時適切なもので運用をしていただければと思います。

「ログ管理とは何？」という方から、さらに活用したい方まで、ログ管理をわかりやすく説明します。≫ ログ管理とは？