「セキュリティポリシーって何?」
「セキュリティポリシーにはどんな内容を記載するの?」
など、情報セキュリティ対策としてセキュリティポリシーを作らないといけないのは分かるけど、どのように作ればいいのか分からない企業様が多いです。
セキュリティポリシーは、企業・組織において実施すべき情報セキュリティ対策の方針や行動指針のことです。
このセキュリティポリシーがないと、社員や職員が適切な情報セキュリティ意識を持つことができず、ウイルスや情報漏洩から組織を守ることは困難だと言えるでしょう。
この記事では、
- セキュリティポリシーとは
- セキュリティポリシーに記載する具体的な内容
- 情報セキュリティ対策不足による企業の情報漏洩リスク4つ
などを解説していきます。
本記事を一読すれば、自社に合った適切な内容のセキュリティポリシーを作ることができ、情報漏洩などのリスクを最小限の抑えることができるでしょう。
目次
セキュリティポリシーとは
セキュリティポリシーとは、企業・組織において実施すべき情報セキュリティ対策の方針や行動指針のことです。
もう少し分かりやすく説明すると、
- どの情報資産をどんな脅威から守るのか
- 情報資産を守るためにはどんな対策をすればいいのか
などを具体的に示すのがセキュリティポリシーです。
またセキュリティポリシーの策定は、セキュリティ担当者だけでなく全ての社員や職員に情報セキュリティ意識を持たせる目的もあります。
なお注意すべきことは、情報セキュリティ対策は企業の規模や体制によってそれぞれ異なるため、自社に合ったセキュリティポリシーを策定する必要があります。
セキュリティポリシーはなぜ必要?
セキュリティポリシーは、ウイルスや情報漏洩など内外の脅威から情報資産を守るためには必ず必要です。
もしセキュリティポリシーがなければ、情報資源を守るべき対策などが講じられず、ウイルス感染や社員による不注意での情報漏洩が発生しやすい状況になります。
もし企業が情報漏洩を起こすと、金銭的被害やイメージダウンは避けられません。
また、情報資産を守るため以外にもセキュリティポリシーを作るメリットはいくつかあります。
- 信用を維持できる
- トラブル発生時も迅速に対応できる
- 社員のセキュリティ意識を高めることができる
セキュリティポリシーを策定して、ウイルスや情報漏洩など内外の脅威から情報資産を守るだけでなく、関係取引先や顧客から信用してもらえる企業・組織を目指しましょう。
セキュリティポリシーは「だれが・どうやって」策定するの?
セキュリティポリシーは、
- だれが→「企業や組織の代表者や幹部が中心となって」
- どうやって→「以下の策定手順」
によって、策定していくのが一般的です。
セキュリティポリシーは、企業や組織の代表者や幹部が策定の作業自体に関わるような体制作りが重要です。
※引用:総務省
どうやって策定するのかについての策定手順は、以下をご覧ください。
①策定の組織決定(責任者、担当者の選出)
➁目的、情報資産の対象範囲、期間、役割分担などの決定
③策定スケジュールの決定
④基本方針の策定
⑤情報資産の洗い出し、リスク分析とその対策
⑥対策基準と実施内容の策定
※参考:総務省
なお、セキュリティポリシーの策定手順は、「業態、組織規模、目的、予算、期間」などによって大きく異なります。
よって、企業や組織の実情に見合ったセキュリティポリシーを策定するための適切な人材確保が難しい場合は、外部専門家に参加をお願いするのがいいでしょう。
ただし、外部専門家にセキュリティポリシー策定の全てを依頼するのは、その企業や組織に適した内容にはならないので、できるだけアドバイザなどの形で協力してもらうようにしましょう。
セキュリティポリシーを作るうえで重要なポイント5つ
セキュリティポリシーの策定に取り掛かる前に、作るうえで重要なポイントを覚えておきましょう。
セキュリティポリシーを作るうえで重要なポイントは5つです。
- 経営に関与するメンバーが策定に関わること
- 保護するべき情報資産を明確化しておくこと
- 実現可能な内容にすること
- 対象者の範囲を明確にすること
- セキュリティポリシーに応じた罰則を設けること
それぞれのポイントについて、以下で詳しく解説していきます。
【ポイント1】経営に関与するメンバーが策定に関わること
セキュリティポリシーを作るうえで重要なポイントは、経営に関与するメンバー(企業や組織の代表者や幹部)が策定に関わることが大事です。
なぜなら、企業や組織の実情や現在の社会状況に見合ったセキュリティポリシーを策定する必要があり、そのためには企業や組織の経営を熟知しているメンバーが必要だからです。
前章でもお話ししたように、セキュリティポリシー策定のための適切な人材確保が難しい場合は、外部専門家にも参加してもらうようにしましょう。
【ポイント2】保護するべき情報資産を明確化しておくこと
セキュリティポリシーを作るうえで、保護するべき情報資産を明確化しておくことも重要です。
保護すべき情報資産の例として、
- 顧客データ
- 業務プロセスの情報
- 知的財産や機密情報
などがあります。
顧客データを管理し扱っている企業や組織では、保護するべき情報資産としてセキュリティポリシーに記載してあげる必要があります。
また、適切なセキュリティポリシーをスムーズに作っていくためにも、保護するべき情報資産をしっかりと明確化しておくようにしましょう。
【ポイント3】実現可能な内容にすること
セキュリティポリシーは、実現可能な内容にすることも大事です。
到底実現できないような内容ではセキュリティポリシーの意味はなく、社員や職員の情報セキュリティ意識を高めることはできません。
よって社員や職員も理解でき、受け入れることができるような内容を意識しましょう。
【ポイント4】対象者の範囲を明確にすること
セキュリティポリシーを作るうえで、対象者の範囲を明確にすることも適切な内容にするためには重要です。
対象者には、全社員や協力会社、場合によっては顧客が含まれることもあります。
例えば、全社員・職員に対して同じセキュリティ基準を適用する場合もあれば、特定の部門に特化したセキュリティポリシーを適用する場合もあるなど、状況に応じて範囲を設定する必要があります。
対象者の範囲設定は、セキュリティポリシーの効果を決定づけるものなので慎重に行うようにしましょう。
【ポイント5】セキュリティポリシーに応じた罰則を設けること
セキュリティポリシーを作る時は、セキュリティポリシーに応じた罰則を設けるようにしましょう。
以下は、SNKシステム日本九州株式会社が策定しているセキュリティポリシーに応じた尊守義務と罰則です。
※引用:SNKシステム日本九州株式会社のセキュリティポリシー
セキュリティポリシーに応じた罰則を設けることは、組織的にセキュリティ意識を向上させるためにも重要なことです。
並行して、セキュリティポリシーを周知徹底するためには、定期的・継続的に社員・職員教育も行うようにしましょう。
セキュリティポリシーに記載する具体的な内容
ここからは、実際にセキュリティポリシーに記載する具体的な内容について解説していきます。
セキュリティポリシーは一般的に、
- 基本方針(組織の方針宣言)
- 対策基準(ガイドラインの記載)
- 実施手順(具体的運用方法の記載)
の3つの階層で構成されます。
※引用:総務省
3つの階層別でそれぞれ詳しく解説していきます。
1. 基本方針(組織の方針宣言)
基本方針は、後述する「対策基準」や「実施手順」の基本的な考え方を示すもので、いわゆる組織の方針宣言です。
例えば主に、
- なぜ情報セキュリティが必要なのか
- どのような方針で情報セキュリティを考えるのか
- 顧客情報はどのような方針で取り扱うのか
などの考えを示します。
また、セキュリティポリシーの適用範囲や対象者、違反時の罰則などもここで明示するようにしましょう。
2. 対策基準(ガイドラインの記載)
対策基準には、実際に情報セキュリティ対策の指針を記載します。
分かりやすく説明すると、部署や業務ごとのガイドラインを載せて、情報セキュリティ対策の方法や基準などを明示します。
また対策基準では、何がどこまで許されるのか明確な基準を設けて記載することが大事です。
3. 実施手順(具体的運用方法の記載)
実施手順には、対策基準ごとに行うべき情報セキュリティ対策の内容を、具体的に手順として記載しています。
簡単に言えば、実施手順=マニュアルです。
実施手順では、業務別に具体的で実現性の高い手順を定めるようにしましょう。
セキュリティポリシー基本方針策定の例
セキュリティポリシーの基本方針は、誰でも見ることができるように公開されていることが多いです。
基本方針の例を参考にしたい場合は、以下で当サイトを運営する「かっこ株式会社」の基本方針を紹介するのでぜひ参考にしてください。
また、IPA(独立行政法人 情報処理推進機構)からは中小企業向けの情報セキュリティ対策ガイドラインがダウンロードできるので、基本方針策定の際にはご活用ください。
【実例紹介】かっこ株式会社
当サイトを運営する「かっこ株式会社」は、上場企業で情報セキュリティに万全な対策を施しており、その方針を公開しています。
以下は、かっこ株式会社が公開しているセキュリティポリシーの基本方針ですので、策定の際には参考にしてください。
このように基本方針しか公開されない理由は、「対策基準」「実施手順」には具体的なセキュリティ対策の内容が含まれる(セキュリティ上の弱点など)ので、情報漏洩防止のために公開されません。
対して基本方針は、ビジネス上の信頼を得る目的で、セキュリティポリシーを策定した意図が外部に伝わるように公開されます。
セキュリティポリシーは定期的に内容見直し・改変を行う
セキュリティポリシーは、策定後も定期的に内容見直し・改変を行う必要があります。
なぜなら、IT技術の進歩や法改正、社内体制の変化などで適宜内容を改変していかなければ、本来のセキュリティポリシーの意味をなさないからです。
内外の変化に伴い、適宜セキュリティポリシーの見直し・改変を行い、企業や組織の実情に合ったセキュリティポリシーにしておくようにしましょう。
情報セキュリティ対策不足による企業の情報漏洩リスク4つ
ここからは、情報セキュリティ対策不足による企業の情報漏洩リスク4つを紹介していきます。
- 金銭の損失
- イメージダウンによる顧客の喪失
- 一定期間の事業停止
- 従業員の働く意欲が低下
それぞれのリスクについて、事例も紹介しながらそれぞれ詳しく解説していきます。
【リスク1】金銭の損失
顧客の個人情報や取引先などから預かった機密情報を漏洩させてしまった場合は、損害賠償請求を受けることになり大きな金銭の損失は避けられません。
大手企業の場合はもちろんですが、中小企業でも情報漏洩が起こると損害賠償などを含めて数億円規模の損失が発生するケースも過去にありました。
また、こうした損害賠償請求以外にも、不正送金やクレジットカードの不正利用などで直接的な損失を被る企業も増えています。
なお、クレジットカード不正利用の手口やEC事業者が行うべき対策については、以下の記事で詳しく解説しているので参考にしてください。
【リスク2】イメージダウンによる顧客の喪失
企業が情報漏洩を起こすと、情報漏洩を起こした企業に対する管理責任が問われるのでイメージダウンによる顧客の喪失は避けられません。
例えば、情報漏洩を起こした企業と同じ製品やサービスを提供している他の企業に、顧客が流れていってしまう現象が起こりえます。
よって、情報漏洩の発覚直後は顧客の喪失による大きなダメージを受けることになるでしょう。
【リスク3】一定期間の事業停止
企業への不正アクセスなどにより情報システムが使用できなくなると、一定期間の事業停止や取引先への影響も余儀なくされます。
現代では、事業運営にデジタル技術の活用が急速に進んでいます。
つまり、企業の情報システムに事故が発生してしまうと、事業の停止により生産活動の遅れや営業機会の損失は避けられないということです。
【リスク4】社員・職員のモラル低下
情報セキュリティ対策不足を悪用した内部不正が容易に行えるような職場環境では、社員・職員のモラル低下を招くでしょう。
さらに情報漏洩などを起こしたにも関わらず、管理職のみ責任を取らないような対応があれば、社員・職員が働く意欲を失う恐れがあります。
情報漏洩による金銭などの損失も大きな痛手ですが、情報漏洩をきっかけに職場環境が悪化してしまうことも企業にとっては大きな痛手となるでしょう。
情報漏洩を未然に防ぐためには不正アクセス検知システム導入がおすすめ
セキュリティポリシーの策定も大事ですが、情報漏洩を未然に防ぐためには不正アクセス検知システムを導入することも検討しましょう。
セキュリティポリシーも企業の情報漏洩を未然に防ぐための効果がありますが、それでも情報漏洩の原因となる不正アクセスやサイバー攻撃を完全に防ぐことはできません。
そのため、情報漏洩の原因となる不正アクセスやサイバー攻撃を防ぐためのシステムを導入することがおすすめです。
当サイトを運営するかっこ株式会社は、不正アクセス検知システム「O-MOTION」を開発・提供しています。
※参考:かっこ株式会社|O-MOTION
情報セキュリティ対策として、セキュリティポリシーとプラスアルファの対策をしたい企業様は、弊社までお気軽にお問合せください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
なお、実際に不正アクセス被害に遭ってしまった時の対応手順マニュアルは以下からダウンロードできるので、ご活用ください。
\不正発覚した時に企業としてどう対応しますか?/ 
まとめ
セキュリティポリシーとは、企業・組織において実施すべき情報セキュリティ対策の方針や行動指針のことです。
このセキュリティポリシーがないと、全ての社員や職員が適切な情報セキュリティ意識を持つことができず、ウイルスや情報漏洩から組織を守ることは困難です。
実際にセキュリティポリシーを作るうえで重要なポイントは5つあります。
- 経営に関与するメンバーが策定に関わること
- 保護するべき情報資産を明確化しておくこと
- 実現可能な内容にすること
- 対象者の範囲を明確にすること
- セキュリティポリシーに応じた罰則を設けること
これらのポイントを踏まえてセキュリティポリシーを策定し、
- ウイルスや情報漏洩など内外の脅威から情報資産を守る
- 関係取引先や顧客から信用してもらえる企業・組織を目指す
ようにしましょう。
ただし、セキュリティポリシーを策定していても不正アクセスやサイバー攻撃の脅威とはいつも隣り合わせにいます。
よって、不正アクセス検知システムの導入など、セキュリティポリシーとプラスアルファの対策を行って企業の情報漏洩を未然に防いでいきましょう。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
