セキュリティ対策をルール化する
「内部統制評価基準 勝ち抜く会社の800のポイント」を活用した内部統制の仕組みづくりでは、内部統制に関わる組織経営のプロセスを8つの側面(カテゴリ)に分けて、質問を通じて具体的に仕組みに落とし込んでいきます。
カテゴリ6.情報セキュリティについて見ています。
IPA(独立行政法人情報処理推進機構)が公開している「情報セキュリティ10大脅威 2021」を見ても、企業・組織における脅威の約半数は、物理的なセキュリティ対策だけでは防げない、人的な要因による事象となっています。
機密情報の保護も含め、こうした事象への対策について確認します。
6.(5)人的セキュリティ(安全管理)
機密情報の取り扱い、ICT機器の使用などに関して、職員が注意・遵守すべきルールは明確に定められ、徹底されていますか。
(「内部統制評価基準 勝ち抜く会社の800のポイント」より引用。)
基本は、機密情報やセキュリティ対策の対象とすべきICT機器を明確にし、その取り扱いの社内ルールを定め、従業員や組織の関係者に周知・徹底します。
内部不正など悪意による情報漏洩でなくとも、ルールを知らないあるいは軽視していて、ルールを守らずに情報を持ち出し、紛失、情報漏えいにつながるケースも散見されています。
多くの場合、業務で扱うすべての情報が機密情報(秘密)であり、交換した名刺やスマホに入れたお客様の電話番号なども対象となります。日常的に持ち歩く、名刺入れやスマホ、社員証なども紛失などに十分に注意すべきものであることを周知しなければなりません。
外出時には、公共の場所でPCやスマホの盗み見に注意する、従業員同士でお客様の話や社内プロジェクトの話などしないことなど、社外での情報漏洩のリスクを最小限にするためにルールとして徹底します。
社内でも、内部不正などを防ぐために、離席時にはPCにスクリーンロックを掛ける、退社時にはPCを所定の保管場所にしまうあるいは施錠するなどのルールも検討します。
その他、電子メールやFAXなどの宛先誤りを防ぐための手順、電子ファイルを顧客や関係者に電子的に受け渡しする場合の手順など、日常の業務中の作業の中でも注意すべきところ、ルールを決めておくべきところは様々あります。
また、作成したルールは、構内で作業する委託先社員にも同じレベルでルールを守るよう、委託先に依頼します。
機密情報の保護については、経済産業省から「秘密情報の保護ハンドブック ~企業価値向上にむけて~」やそれに沿った手引書(ガイド)などが発行されています。(経済産業省>営業秘密~営業秘密を守り活用する~)
(出典:「秘密情報の保護ハンドブック」図表3(1)5つの対策の目的)
情報セキュリティ対策については、経済産業省の「サイバーセキュリティ経営ガイドライン」やそれに基づいて作成されたIPAの「中小企業の情報セキュリティ対策ガイドライン」が参考になります。
★★
その他参考:IPA>情報セキュリティ対策
「情報セキュリティ対策のキホン」「日常における情報セキュリティ対策」
★★
内部統制評価基準改訂版「内部統制評価基準 勝ち抜く会社の800のポイント」については、NPO法人内部統制評価機構のウェブサイトをご覧ください。