近年、テレワークやサテライトオフィスなど、新しい働き方を採用する企業が増えています。
しかし、情報セキュリティの基盤が整っていないまま、働き方を多様化してしまうと、個人情報が危険にさらされるおそれがあります。
今回は、今一度企業が意識すべき、個人情報を重視した情報セキュリティ対策について解説します。
情報セキュリティ対策の主導者について
企業が個人情報を重視した情報セキュリティ対策を取る際は、どうしてもセキュリティ担当者に任せがちになります。
特に、人員が不足していたり、経営状況が芳しくなかったりする中小企業においては、経営陣が一切関与せず、担当者の負担が大きくなっているケースも少なくありません。
このような状況では、企業のシステムがサイバー攻撃などの被害に遭ったとき、一丸となって対処することが難しいです。
また、セキュリティ担当者が退職してしまうと、企業は途端に情報セキュリティ対策における主導者を失ってしまいます。
よって、個人情報を重視した情報セキュリティ対策を取る場合は、必ず経営陣が主導し、推進しなければいけません。
情報セキュリティ対策の実施内容について
企業が取り組むべき、個人情報を重視した情報セキュリティ対策は、必ず実施内容を明確にし、経営陣の指示で実施しましょう。
ここでいう“実施内容”とは、セキュリティポリシーや実施要領等を指しています。
また、実施内容を決定する際には、必ず信頼できるベンチマークを参考にしなければいけません。
自社のみで決定すると、脆弱性が生まれてしまう可能性があるからです。
おすすめのベンチマークとしては、情報処理推進機構(IPA)が提供する“情報セキュリティ診断サイト”などが挙げられるため、ぜひ一度チェックしてみましょう。
情報セキュリティ対策の意識付けについて
個人情報を重視した情報セキュリティ対策について、内容を明確にしていたとしても、全従業員にその意識付けができていなければ意味がありません。
よって、企業の経営陣は、役職者やその他の従業員、派遣社員に至るまで、企業経営に関わるすべての従業員に対し、情報セキュリティ対策の教育を実施しましょう。
また、個人情報や情報セキュリティにおける課題は日々変わっていくため、これらの教育や講習は定期的に行わなければいけません。
自社サイトにおける情報セキュリティ対策について
自社サイトを運営している企業は、サイトの管理者やWebシステムの開発者に対し、脆弱性対策をしているかどうか確認しましょう。
Webシステムのソフトウェアに脆弱性があるままだと、その部分を突かれ、個人情報などの機密情報を窃取される可能性があります。
よって、企業の経営陣は、サイト管理者や開発者に対し、Webサイトの脆弱性チェックリストを手渡し、すべて“対策済”にチェックが付くかどうかを確認しましょう。
ちなみに、Webサイトにおける脅威や脆弱性には、主に以下のものが挙げられます。
・SQLインジェクション
・OSコマンドインジェクション
・パス名、パラメータ名の未チェック/ディレクトリ・トラバーサル
・セッション管理の不備
・クロスサイトスクリプティング
・CSRF(クロスサイト・リクエスト・フォージェリ)
・HTTPヘッダインジェクション
・メールヘッダインジェクション
・クリックジャッキング
・バッファオーバーフロー
・アクセス制御、認可制御の欠落 など
JAPHICマークについて
企業が取得を目指すマークの1つに、“JAPHICマーク”というものがあります。
これは、“個人情報の保護に関する法律”に準拠し、個人情報について適切な保護措置を講ずる体制を整備し、運用している事業者を認定して、その旨を示すJAPHICマークの使用を認める制度です。
JAPHICマークを取得すれば、その企業の信用度はアップしますし、取得を目指すことで、必然的に個人情報を重視した情報セキュリティ対策は構築されます。
JAPHICマークの申請、審査、認証にかかる費用
JAPHICマーク取得にかかる費用は以下の通りです。
・新規申請の場合
従業者5名まで 従業者6~50名まで 従業者51名以上
申請審査料 105,000円 157,500円 210,000円
認証料 52,500円 73,500円 105,000円
合計 157,500円 231,000円 315,000円
・更新申請の場合
従業者5名まで 従業者6~50名まで 従業者51名以上
申請審査料 42,000円 84,000円 126,000円
認証料 52,500円 73,500円 105,000円
合計 94,500円 157,500円 231,000円
ここでいう“従業者”とは、“個人情報の保護に関する法律についてのガイドライン”に基づき、事業者の組織内で、直接的または間接的に事業者の指揮監督を受けて業務に従事しているすべての人物が含まれます。
具体的には、以下の人物です。
・役員
・理事
・正社員
・契約社員
・派遣労働者
・嘱託社員
・パート
・アルバイト
・ボランティアスタッフ
まとめ
ここまで、今改めて企業に意識していただきたい、個人情報を重視した情報セキュリティ対策について解説しましたが、いかがでしたでしょうか?
働き方を多様化するのは企業にとっても、従業員にとっても悪いことではありませんが、安易に行うと個人情報の漏えい、企業の信用性低下、経済的損害などに繋がってしまうため、注意してください。
