(SECURITY ACTION セキュリティ対策自己宣言公式サイトより)
「情報セキュリティって大切だけど、なにを、どこまですればよいか、よくわからない」という中小企業は多いと思います。
確かに、情報セキュリティには「ここまでやれば大丈夫」という明確な基準や成果が可視化しづらいため、社内の協力を得て、取り組みを進めていくことが大変難しいです。
情報セキュリティの取り組みの1つの成果として、「ISMS制度」や「プライバシーマーク制度」といった認証を取得することも考えられますが、これらの認証を取得するためには、お金も時間もかかります。
そのため、そこまで手を出せない中小企業も多いと思います。
そんな中小企業に向けた、新しいセキュリティの制度が始まります。
その名も「SECURITY ACTION制度」。IPA(情報処理推進機構)や、日本商工会議所、日本ネットワークセキュリティ協会等の団体が共同で策定した制度です。
この制度では、あるルールに従って自社の情報セキュリティを整え、IPAに申請を行うことで、自社のWebサイトや名刺に、「SECURITY ACTION」と書かれた、制度のマークを掲載することが可能になります。
マークを掲載することで、「自社の情報セキュリティはしっかりしてます!」ということをアピールすることができますし、ISMSやプライバシーマークよりも気軽にマークを利用することができるため、多くの企業から注目が集まるのではないかと予想されています。
しかし、やはり気になるのが、マークを掲載するために、どのような取り組みを行う必要があるのか、ということです。
実はマークは2種類あります。マークごとに、何をしなければ良いのかを、順を追って見てみましょう。
一つ星マークの場合
一つ星マークは、この「SECURITY ACTION制度」の1段階目とされています。
このマークを自社のWebページや名刺に記載するためには、中小企業の情報セキュリティ対策ガイドラインに書かれた「情報セキュリティ5箇条」に取り組む必要があります。
中小企業の情報セキュリティ対策ガイドライン
情報セキュリティ5箇条
情報セキュリティ5箇条には、「OSやソフトウェアは常に最新の状態にしよう!」「ウィルス対策ソフトを導入しよう!」「パスワードを強化しよう!」「共有設定を見直そう!」「脅威や攻撃の手口を知ろう!」の5つが記載されています。
この5つは、いずれも情報セキュリティの基本ですので、中小企業であれ、確実に実施しておきたい内容です。
二つ星マークの場合
二つ星マークは、この「SECURITY ACTION制度」の2段階目とされています。1段階目の情報セキュリティ5箇条をクリアしたら、この2段階目に挑んでみましょう。
二つ星マークをWebページや名刺に記載するためには、2つのステップがあります。
1つ目は、先ほどの「中小企業の情報セキュリティ対策ガイドライン」の付録「5分でできる!情報セキュリティ自社診断」で自社のセキュリティ状況を診断すること。
2つ目は「情報セキュリティポリシー(基本方針)」を定め、外部に公開することです。
1つ目から見ていきましょう。
「5分でできる!情報セキュリティ自社診断」は、以下のページからダウンロードすることが出来ます。
25個のチェック項目があり、順番に回答することで、自社のセキュリティレベルが何点か、簡単に測定することができます。
2つ目は、「情報セキュリティポリシー(基本方針)を定め、公開する」ことが必要です。自社に「情報セキュリティポリシー(基本方針)」と呼ばれる文書がない場合は、作成する必要があります。
しかし、1から作成する必要はありません。
先ほど紹介した「中小企業の情報セキュリティ対策ガイドライン」の付録には「わが社の情報セキュリティポリシー サンプル」というwordファイルが付属しています。
その中に、「情報セキュリティ基本方針サンプル」と書かれた文書がありますので、それを参考に作るのが良いでしょう。
作成した後は、外部に公開する必要があります。
公開の手段として、最も一般的なのが、Webサイトに掲載することです。
参考までに、私の会社の基本方針を紹介します。
Webページ以外にも、会社案内の資料に乗せる、パンフレットに乗せる、などの方法があります。
この基本方針を必要としているのは、お客様や取引先など、あなたの会社に関連する人々(利害関係者)です。
そのような利害関係者が、いつでも手に入れることができる場所で公開しておくことが必要です。
以上が、SECURITY ACTION制度でマークを利用するために必要な内容です。
上記の内容が実践できれば、以下のページから、IPAに対して申請を行ってみましょう。無事に申請が通れば、1週間から2週間後にIPAから連絡が来るはずです。
SECURITY ACTION ロゴマークの使用申込方法 : SECURITY ACTION セキュリティ対策自己宣言