制度活用でお得マネジメント（第2回） 中小企業の自己宣言「SECURITY ACTION」

　企業のIT活用とセキュリティ対策は不可分だ。例えばある大手メーカーは、パートナー企業の選定において、セキュリティ対策を重視する。つまり、セキュリティ対策に積極的に取り組み、安心して取引が行える企業であるとアピールすれば、取引先から信頼される可能性が高まる。

　中小企業が「セキュリティ対策に取り組んでいます」と自己宣言して、対外的にアピールできる制度が2017年から始まっているのをご存じだろうか。この制度は情報処理推進機構（IPA）が創設した。これを利用すれば、名刺やホームページなどに「SECURITY ACTION」と記されたロゴを入れて取り組み姿勢をアピールできるのだ。

ロゴマーク表記で取引先との信頼関係を構築

情報処理推進機構（IPA）で創設した「SECURITY ACTION」制度は、安全・安心なIT社会の実現に向け、中小企業自らがセキュリティ対策を自己宣言するものだ。自己宣言の条件については、IPA公開の「中小企業の情報セキュリティ対策ガイドライン第2.1版」（以下、ガイドライン）をベースにした2段階の取り組み目標を設けている。

　SECURITY ACTIONの進め方は次の通りだ。まず、「1段階目（一つ星）」または「2段階目（二つ星）」のいずれかの取り組み目標を選ぶ。次に「SECURITY ACTION自己宣言者サイト」から、IPAにSECURITY ACTIONロゴマーク使用を申請する。ロゴマークをダウンロードしたら、自社の会社案内や名刺、ホームページ、ポスターなどに表示。ロゴマークの表記により、セキュリティに対する取り組みを自己宣言する。

　この制度のポイントは、認定制度ではないところだ。「自己宣言」にしている意図を理解したい。中小企業のセキュリティ意識を啓発し、自発的な対策を促進する制度だからだ。そのため、制度利用のハードルは高くない。セキュリティ対策に取り組むことを宣言すれば、ロゴマークを表記できる。行動を起こすという意味での「SECURITY ACTION」なのだ。ロゴマークの使用料もかからない。

　もちろん、自己宣言したからには具体的にセキュリティ対策に取り組まなければならない。後述する具体的な対策を1つずつ実施すれば、自社のセキュリティが確実に高まる。

　ロゴマークを表記するメリットについて、IPAでは「（1）情報セキュリティ対策の取り組みの見える化」「（2）顧客や取引先との信頼関係の構築」「（3）公的補助・民間の支援を受けやすく」なることを挙げる。SECURITY ACTION自己宣言者サイトには社名が掲載される。全国的なアピールにもなる。また、名刺にロゴマークが表記されていれば、社員のセキュリティ意識も高まるのは想像に難くない。

一つ星と二つ星を宣言するための方法

　1段階目（一つ星）は、ガイドライン付録1にある「情報セキュリティ5か条」への取り組みが目標となる。「（1）OSやソフトウェアは常に最新の状態にしよう！」「（2）ウイルス対策ソフトを導入しよう！」「（3）パスワードを強化しよう！」「（4）共有設定を見直そう！」「（5）脅威や攻撃の手口を知ろう！」の5つだ。これらの5か条への取り組みを宣言すれば、一つ星のロゴマークを表記できる。

　2段階目（二つ星）では、まずガイドライン付録2にある「5分でできる！情報セキュリティ自社診断」を行う。自社診断の内容は、情報セキュリティ5か条にある「基本的対策」をはじめ、電子メールの取り扱いや重要情報の保護など「従業員としての対策」、情報漏えいなどの発生に備えた準備をするなど「組織としての対策」がある。

　二つ星では、自社診断を行った上で、「情報セキュリティポリシー（基本方針）」を策定し、外部に公開しなければならない。ガイドラインでは、「情報資産管理台帳の作成」「リスク値の算定」「情報セキュリティ対策の決定」「情報セキュリティポリシーの策定」といった手順を解説している。参考にするとよいだろう。

　取り組み目標の推進とともに、ステップアップするのもよい。一つ星から始めた企業は二つ星にぜひチャレンジしてほしい。なお、すでに一つ星と同等の取り組みができている企業は、二つ星から始めてもよい。

全国で取り組み事例続々

　SECURITY ACTIONのWebサイトには、取り組み事例も紹介されている。例えば、神奈川県の中小製造業では、中小企業診断士から薦められて一つ星のSECURITY ACTIONを自己宣言した。「技術情報を含む加工データがあり、その保護につながると考えた」からだ。宣言には費用がかからないのも制度活用のきっかけとなった。情報セキュリティ5か条については、OSの設定やパスワードの強度など、それぞれの項目を具体的に確認した。取り組みの結果、セキュリティ対策の必要性を理解できただけでなく、社員の意識向上が図られたと効果を実感した。

　二つ星を宣言した東京都の社会保険労務士事務所は、「業界全体として取り組んでいくものであり、社労士の一人としてともに動いていく必要があると考え、宣言」した。以前から取得していたプライバシーマーク制度の取り組みと共通する部分も多かった。すでに二つ星の取り組みをかなりクリアできていたという。ある程度セキュリティ対策を行ってきた企業は、二つ星の宣言から始められる好例だろう。

　SECURITY ACTIONを活用すれば、対外的なアピールになるだけでなく、社員のセキュリティ意識も高められる。事例も参考にしながら一つ星か二つ星か選び、SECURITY ACTIONに取り組んでみてはいかがだろうか。