制度活用でお得マネジメント（第1回） セキュリティ強化の情報発信で生まれ変わる中小企業

　中堅中小規模の企業が成長を続けるには、競争力のある製品・サービスの提供はもちろん、リスク管理などを含めたコンプライアンス経営が欠かせない。

　コンプライアンス経営で守るべきは法令だけでない。企業活動をサイバー攻撃から守るセキュリティ対策が欠かせない。万一、対策の不備でサイバー攻撃を受け、重要な顧客情報や取引情報が漏えいした場合、企業の社会的責任は免れず、経営にも大きな影響を与える。

セキュリティ対策の強化を発信すべし

　近年、セキュリティ対策の重要性がメディアで言われ続けている。実態はどうだろうか。独立行政法人情報処理推進機構（IPA）が公表した「2016年 中小企業における情報セキュリティ対策の実態調査-調査報告書-」によれば、情報漏えいなどのインシデントまたはその兆候を発見した場合の対応方法を「規定している」中小企業は21.2％にすぎない。「規定されていない」「規定されているのかわからない」を合わせると76％に上る。サイバー攻撃を受けてもどう対応すべきが分からなければ、被害は広がるばかりだ。

　攻撃の被害は自社だけにとどまらないのも近年の傾向だ。攻撃者はセキュリティ対策が手薄な中小企業のサーバーを踏み台にして、取引先の情報を盗み取る。自社だけでなく取引先やサプライチェーン上のパートナー企業に多大な被害を与える恐れもある。

　今後ともサプライチェーン上でパートナーとして認められるためには、自社がセキュリティ対策をしっかり行っていると積極的に発信すべきだ。そうしないと、サプライチェーン（SCM）から外される可能性がある。

対策がおろそかな企業はSCMから外される

　経済産業省ではIPAとともに、「サイバーセキュリティ経営ガイドライン Ver2.0」を策定している。経営者のリーダーシップの下でサイバーセキュリティ対策を推進するため、経営者が認識すべき3原則とセキュリティ対策の責任者に指示すべき重要項目をまとめている。

　注目すべきポイントは、3原則の1つである「ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要」だ。その対策例として「監査の実施や対策状況の把握を含むサイバーセキュリティ対策のPDCAについて、系列企業、サプライチェーンのビジネスパートナーやシステム管理の運用委託先等を含めた運用をさせる」としている。

　つまり、サイバーセキュリティ対策が適切に成されていない企業は、今後サプライチェーンの契約から外される可能性もあるというわけだ。これまで、大手企業のサプライチェーンを構成する1社として部品などを供給してきた中小企業も、対策をおろそかにすると事業継続が難しくなる可能性を認識する必要がある。セキュリティ対策をしっかり行っていることを、積極的に情報発信しなければならない理由がここにある。

IT投資強化で取引先からの信用回復へ

　セキュリティ強化の情報発信に取り組み、すでに効果を上げている中小企業もある。IPAでは「中小企業における情報セキュリティ対策の実態調査-事例集-」で、ヒアリングした企業の取り組みを事例集としてまとめている。例えば、ウイルス対策ソフトの運用不備で情報漏えい事故を起こした企業は、「社員のセキュリティ意識の醸成を最優先に行った」。同時に「緊急性が高いリスクから順次対策」を取り、セキュリティを強化した。情報発信の効果としては、取引先からの評価がある。取引先からは、「取り組み内容を説明することで徐々に理解を得られるようになってきた」という。コンプライアンス強化について情報発信すれば、信用が得られる可能性がある。

　そのほか、「完成車メーカーの高いセキュリティレベルに合わせる」事例など、すぐにでも役に立つ事例が数多く掲載されている。セキュリティのインシデント要因や対策、取り組みによる効果が記載されているので参考にしたい。自社の取り組みを取引先やパートナー企業に積極的にアピールすれば、セキュリティ強化とともに企業価値のアップも可能だろう。

　時期によっては、政府、自治体が中堅中小規模の企業向けにIT導入を支援する補助金制度を設けている。利用するにはセキュリティ対策の実施が前提条件となる場合もある。IT活用を進めるためにもセキュリティ対策の強化は避けて通れない。