内閣サイバーセキュリティセンター、
「企業経営のためのサイバーセキュリティの考え方」を策定(平成28年8月2日)
岩田合同法律事務所
弁護士 松 田 貴 男
1. 「企業経営のためのサイバーセキュリティの考え方」の概要
平成28年8月2日、「企業経営のためのサイバーセキュリティの考え方」(以下「本考え方」という。)が内閣サイバーセキュリティセンター(NISC)により策定及び公表された。
本考え方は、企業の経営層を対象に、サイバーセキュリティ確保へ向けた企業の自発的な取り組みを促進するため、経営層に期待される「認識」を示すとともに、経営戦略を企画する人材層に向けた「実装のためのツール」を示すことを目的として策定された。
本考え方で示された基本方針と基本的考え方の概要は以下の通りである。
| 基本方針 | サイバーセキュリティをやむを得ない「費用」ではなく、積極的な経営への「投資」と位置づけ、企業としての「挑戦」とそれに付随する責任として取り組むことが期待される。 | |
|
基本的 考え方 |
2つの 基本的認識 |
<①挑戦>サイバーセキュリティは、利益を生み出し、ビジネスモデルを革新するものであり、新しい製品やサービスを創造するための戦略の一環として考えていく必要がある。 |
| <②責任>全てがつながる社会において、サイバーセキュリティに取り組むことは社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与することとなる。 | ||
|
3つの 留意事項 |
①情報発信による社会的評価の向上(情報発信の重要性) | |
| ②リスクの一項目としてのサイバーセキュリティ(経営層のリーダーシップが必要) | ||
| ③サプライチェーン全体でのサイバーセキュリティの確保(関係者間での情報共有活動の参加等が必要) | ||
また、上記に加え、本考え方においては、企業を以下の3つの類型に分け、それぞれの企業の視点毎に、経営層に期待される「認識」と「実装に向けたツール」を具体的に示す。
- ① ITの利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活用しようとしている企業
- ② IT・セキュリティをビジネスの基盤として捉えている企業
- ③ 自らセキュリティ対策を行う上で、事業上のリソースの制約が大きい企業
本考え方において注目すべきは、上記③の類型の企業(経営リソースの制約の大きい中小企業等が念頭に置かれている。)向けの「認識」(対策不十分の場合の損失、経営層自らの関心、外部の知見の活用等)及び「実装に向けたツール」(ウィルスソフトの導入、認証を受けたクラウドの利用、保険等の活用等)も具体的に示されていることである。サプライチェーン全体でのサイバーセキュリティ確保が望まれる中、一部の中小企業等によるサイバーセキュリティ対策の不備は、社会全体のセキュリティレベルの低下をもたらしうることから、先進的な対策を行っている大企業であっても、自社のみならずその取引先である中小企業等を含めたサプライチェーン全体でのサイバーセキュリティ確保は必要不可欠である。本考え方はかかる視点から、経営リソースに制約のある中小企業等であっても、基礎的なところから段階的に対策レベルを向上させる必要性を示している。
2. サイバーセキュリティに関する施策の概観
本考え方は、サイバーセキュリティ確保へ向けた政府による取り組みの一環として策定された。サイバーセキュリティ確保へ向けた政府の取り組みは、企業経営の観点のみならず、サイバー犯罪対策、国際テロ組織活動対策、研究開発及び人材育成をも含む包括的なものであるが、以下では、主な施策、及び、そのうち企業経営と関係があると思われる施策の概観を時系列に示す。
| 年月 | 項目 | 概要 |
| 平成26年11月 | サイバーセキュリティ基本法成立 | 定義、施策の基本理念、国・地方公共団体の責務、施策の基本事項等を定める |
| 平成27年1月 | サイバーセキュリティ戦略本部及び内閣サイバーセキュリティセンター(NISC)の設置 | |
| 平成27年9月 | 「サイバーセキュリティ戦略」の閣議決定 http://www.nisc.go.jp/materials/index.html |
以下の4つの基本的な施策が定められた
※ 企業経営との関係では、「セキュリティマインドを持った企業経営の推進」が上記①の中の1項目として定められた |
| 平成27年12月 |
経済産業省及び独立行政法人情報処理推進機構により「サイバーセキュリティ経営ガイドライン」策定・公表 http://www.meti.go.jp/press/2015/ 12/20151228002/20151228002.html |
ITサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象とし、経営者が認識する必要がある3原則(経営者によるリーダーシップ、サプライチェーンを含めた対策、関係者とのコミュニケーション)及び情報セキュリティ対策を実施する上で担当幹部に指示すべき重要10項目をまとめた |
| 平成28年4月 | サイバーセキュリティ対策基本法改正 | 平成27年6月に発生した日本年金機構の保有に係る個人情報の外部流出を受け、国による監視等の対象を独立行政法人及び指定法人へ拡大 |
| 平成28年6月 | サイバーセキュリティ戦略本部により「サイバーセキュリティ政策に係る年次報告(2015年度)」公表 http://www.nisc.go.jp/materials/index.html | サイバーセキュリティに関する施策の実施状況を取りまとめ |
| 平成28年7月 |
経済産業省及び総務省により「IoTセキュリティガイドライン」策定・公表 [1] http://www.meti.go.jp/press/2016/ 07/20160705002/20160705002.html |
IoT 機器やシステム、サービスに対して適切なサイバーセキュリティ対策を検討するための考え方をまとめた。なお、「安全なIoT システムの創出」は「サイバーセキュリティ戦略」における上記4つの基本施策のうち①の1項目 |
| 平成28年8月 | 内閣サイバーセキュリティセンター(NISC)により「企業経営のためのサイバーセキュリティの考え方」策定・公表 | 本稿の対象 |
3. 企業経営とサイバーセキュリティ
セキュリティリスクの管理は、個社ごとにそのリスクの性質や大小に相違はあろうが、会社法上取締役会が決議すべき「内部統制システム構築の基本方針」に含まれる(本考え方8頁)ことには異論がなく、サイバーセキュリティ対策は、企業経営層がリーダーシップをとって率先して果たすべき法的責任の一つである。また、政府機関が企業経営層向けに本考え方や「サイバーセキュリティ経営ガイドライン」を策定・公表し、もって「セキュリティマインドを持った企業経営の推進」を求めている事実は、サイバーセキュリティ確保が広く社会の要請でもあって、広い意味でのコンプライアンス(法令等遵守)の1項目を構成することを示している。
過去にも輸送会社や金融機関など社会インフラを担う企業の情報システムトラブルや、大量の個人情報を保有する営利企業におけるセキュリティ対策不備等、当該企業の存続基盤や信頼をゆるがしかねない重大な事態が発生し、役員の経営責任にも発展した事案があった。本考え方を契機に、「セキュリティマインドを持った企業経営の推進」が根付くことが期待される。
[1] このガイドラインの解説は、商事法務ポータルサイトのトピックス解説「◆SH0733◆経産省、IoTセキュリティガイドラインを策定 唐澤 新(2016/07/13)」をご参照下さい。