情報セキュリティ対策の強化で、重大リスクを回避

対策の不備が招く、最悪のシナリオ

近年、企業や組織において情報システムやネットワークの活用は欠かせないものになりました。一般的にセキュリティ対策というと「事故」「防犯」「災害」などのリスクから守る物理的な取り組みをイメージしますが、ここでは「サイバーネットワーク」に焦点を絞り、全4回シリーズで企業が取り組むべきセキュリティ対策について考えます。

最近では毎日のように、スパムメールやなりすましメール、スマホ決済の不正利用やWebサイトの改ざんなどのニュースがメディアで報じられ、被害者数・損害額ともに増えていることはご存知のとおりです。これらの被害は自社だけにとどまらず、取引先であるクライアントや顧客・ユーザーなど広範囲に及びます。個人情報や顧客情報、企業機密などのデータ漏えいによって、企業が長年培ってきた「信頼」や「ブランドイメージ」にも影響を及ぼしかねません。

時に、多額の損害賠償が発生するなど経営基盤を揺るがす事態につながる恐れもあることから、大企業だけでなく中小零細企業においても情報セキュリティ対策は必須です。もはや他人事ではありません。

情報セキュリティ対策は、企業の社会的責任

先に触れたように現代のビジネス社会においては、企業や組織で個人情報や企業情報などの機密情報を取り扱うケースが増えています。こうした流れは規模の大小に関わらずどんな組織・グループでも起きているのが現実です。
世の中がグローバル化するにしたがい機密情報はますます増大し、これらをしっかり守ることがビジネス社会における企業の社会的責任といえます。そこで、自社の情報セキュリティに関して、そのリスクを組織的に管理するリスクマネジメントの構築が急務であり、経営課題の一つとして捉える必要があります。

会社ぐるみで取り組む、情報セキュリティ対策

企業や組織などで保有している情報全般のことを「情報資産」と呼びますが、これには個人情報や企業情報などデータ情報のほか、データを取り扱うパソコンやサーバー、USBメモリやCD・DVDなどの記録メディア、紙の書類・資料等も含まれます。
つまり、経営幹部の手が届くところだけに情報資産が存在しているわけではなく、自社の情報資産は日々の企業活動の中に溢れ、多くの従業員間で共有されているのです。

過去には、たった一人の従業員の不注意やミスによって、企業の機密情報が外部に漏洩したり、コンピューターシステムのウイルス感染やWebサイトへの不正侵入が起こった事例が散見できます。
こうしたことから、社員一人ひとりの情報セキュリティ対策への理解を促し、組織全体で啓発活動に取り組む必要があります。

情報セキュリティ上のリスクから自社を守るために

そのためには、企業や組織の実情にあわせたルールづくりが欠かせません。事業内容、組織形態、情報システムやネットワークの構成、情報資産などを加味したうえで、自社独自の情報セキュリティ対策の方針や規則を定めます。

これらを一般的に「情報セキュリティポリシー」と呼び、具体的には基本方針、運営規定、対策基準、実施手順などが記載されています。企業や組織を脅かす万が一の事態が発生したとき、情報セキュリティポリシーに沿った行動を確実に実行し、リスクから自社を守るための約束事です。

この情報セキュリティポリシーは組織幹部や従業員間で共有・遵守することに意味があります。一人ひとりの自覚と行動こそが、企業や組織運営における最も重要な情報セキュリティ対策といえるでしょう。

 

次回のブログでは、企業の情報セキュリティを脅かす、さまざまな事例について紹介します。