IPA（情報処理推進機構）のセキュリティアクション二つ星を宣言します

情報セキュリティ対策に取組むことを自己宣言

情報セキュリティというものほど重要性が指摘されつつ、
実態を捉えるのが難しいものはないんじゃないかなと思います。

ISMSやPマークのような個人情報保護の認証を取っている会社は少なくありませんが、
本当にセキュリティのことを一人ひとりが認識して活動していることはまずありません。

パソコンをワイヤーで固定したり、USBの接続を不可にしたり、VMを使ったり、
電子機器の持ち込みを不可にしたり、いろいろとセキュリティ対策はできますが、
最終的には一人ひとりの行動や配慮に起因するところが大きいのです。

会社のシステムとして不正が行われにくい形を整えない限り、
ちょっとした不注意でセキュリティが守られなくなってしまします。

一方で、柔軟性、創造性というものはシステム化されるほど阻害されるようにもなります。
このバランスを慎重に見極めつつ、企業としての社会的責任や、
信用を高めるために自社にとって適切な情報セキュリティ方針を定めることが大切です。

そのような二律背反的な状況も含む情報セキュリティについて、
弊社としても総合的にリスク分析を行い、対策を取っているということを再確認するため、
この度、セキュリティアクションを宣言しました。

セキュリティアクション2つ星を宣言する意義

セキュリティアクションという制度自体たまたまメルマガで知ったのですが、

IPAによれば、「セキュリティアクション2つ星を宣言するには、中小企業の情報セキュリティ対策ガイドライン付録の、
「5分でできる！情報セキュリティ自社診断」で自社の状況を把握したうえで、
情報セキュリティ基本方針を定め、外部に公開したことを宣言した中小企業等であることを示すロゴマーク」ということです。

情報セキュリティの基本方針と個人情報保護方針は既に公開しています。
個人情報保護規則、個人情報管理手続についても社内規定を整備中です。

私自身も情報セキュリティマネジメント試験合格者であり、
技術的な情報セキュリティ対策についての知識が無いわけではありませんが、
やはり一番難しいのは「実行」することです。

どれだけ規程を定め、外部認証を得たとしても、
社員の意識が変化しなければ、物理的に厳しい管理規定を守らせる必要が出てきます。

しかし、外部から与えられる強制的な管理や監視は仕事の運用を硬直化させ、
自主性や創造性を奪う面もあり、特にベンチャー企業としては、
過度に厳しい管理規定は事業実態と相容れない点も多いと考えています。

当然外部との仕事の内容によっては機密情報が多く物理的な監視を取らざるを得ないものもありますが、
多くの仕事においてセキュリティの意識があればインシデントは防げるものが多いです。

今回実施したチェックシートを一度記入して見るだけでも、
自社のセキュリティ意識がどの程度あるのかを自己確認することができます。

ぜひ、みなさんもセキュリティアクション宣言をして、
事業発展に資する最適なセキュリティ対策をすこしずつ考えてみませんか？