先日（３／１８）、独立行政法人情報処理推進機構（ＩＰＡ）より、「中小企業の情報セキュリティ対策ガイドライン」が発表されました。

近年、情報セキュリティ対策に対し社会的及び法的な要求が強まる中、対応するための経営資源が限られている中小企業に「情報セキュリティ対策を促進する」ことを目的としたものです。

これまで情報セキュリティ対策をご支援してきた経験から、情報セキュリティマネジメントシステム（ＩＳＭＳ、JIS Q 27001、ISO/IEC 27001）確立には多岐に渡る認証基準を満たすことが必要でした。

それに対し、本ガイドラインは中小企業を対象としており、特に重要な対策について整理されていますので、参考になりそうです。

私も今後のご支援を通して、特に以下の視点で本ガイドラインを充実していきたいと思います。

• ・本ガイドライン活用の評価：診断や対策項目の妥当性

• ・セキュリティ対策事例整理：対策時の効果測定と検証

• ・ＳａａＳなどの新たな情報サービス活用時の対策

今回の発表資料は、以下の構成になっています。

特に、別冊１では「業務委託契約に係る機密保持条項（例）」と「委託先における情報セキュリティ対策事項」、別冊２では「共通して実施すべき対策」「重点的に取り組むべき様々なシナリオ」と「情報セキュリティ対策チェックリスト」が具体的に整理されています。

１．中小企業の情報セキュリティ対策に関する研究会報告書

２．中小企業の情報セキュリティ対策ガイドライン

別冊１：委託関係における情報セキュリティ対策ガイドライン

• ・目的：情報セキュリティに配慮した適正な取引を促進す

• ・対象：中小企業等に業務委託をする企業の担当者

別冊２：中小企業における組織的な情報セキュリティ対策ガイドライン

• ・目的：中小企業の情報セキュリティ対策を底上げ

• ・対象：中小企業

別冊３：５分でできる自社診断シート

• ・対象：最低限実施すべき対策を自主点検する経営者か管理者

但し、このガイドラインで指摘されている項目に対応すれば完了ということではなく、それぞれの企業がおかれている環境や状況に応じて、項目の範囲や度合いなどを適切に対応することが必要です。

企業のポリシーを明確にし、ポートフォーリオに応じた情報セキュリティ対策を実施すべきです。

そのためには、情報セキュリティにおける「経営戦略とリスクマネジメントとの融合」が必要と思います。