「5分でできる自社診断」など中小企業向けにセキュリティ対策ガイドライン：NEWS

IPAが中小企業に向けて情報セキュリティ対策ガイドラインを公表。企業が最低限行うべきセキュリティ対策や業務委託先に対する機密情報の取り扱い条項など、「具体的に何をすればいいのか」をまとめた。

≫ 2009年03月19日 12時32分公開

[TechTargetジャパン]

　IPA（情報処理推進機構）は3月18日、中小企業を対象に情報セキュリティ対策のガイドラインを公開した。電子メールで取引情報をやりとりする企業、自社のWebサイトを構築して営業活動を実施する企業などに向けて具体的な対策の手順を提示することで、「何をすればいいか分からない」状況を解消することが狙い。ガイドラインはIPAのWebサイトより入手できる。

　IPAが公表した「中小企業の情報セキュリティ対策ガイドライン」は、（1）5分でできる自社診断シート、（2）組織的なセキュリティ対策ガイドライン、（3）委託関係におけるセキュリティ対策ガイドライン、などで構成される。

情報セキュリティ対策ガイドラインの「自社診断シート」。4段階評価で100点満点でのスコアリングとなっている《クリックで拡大》

　（1）は、最低限実施すべきセキュリティ対策を25項目に絞ってまとめた自主点検表。重要な情報の保管方法やPCの利用ルール、パスワード設定といった、中小企業にとって情報セキュリティが難しい要因とされるリスク分析にかかわる点検項目が集約され、短時間でチェックできるようになっている。

　（2）では、個人情報や取引先の機密情報を保持し、それらが情報漏えい事故などで流出する可能性のある企業を対象に、策定すべきセキュリティポリシーや対策をまとめている。内容は、中小企業が共通して実施すべき対策と、企業ごとに考慮して実施すべき対策の2つに分かれ、入退管理といった物理セキュリティ、事故対応、退職者の競合他社への就職などについての具体策が記されている。また（3）は、業務委託先に対して機密情報の取り扱いに必要な情報セキュリティ対策の実施要項を示したもの。取引基本契約書や売買契約書、発注書における機密情報の指定・保持に必要な情報セキュリティ対策を、委託元が行うべき対策も含めてまとめている。

　（1）～（3）はそれぞれ別冊としてまとめられ、例えば（1）を実施して条件を満たした場合は（2）を実施し、さらに対策が必要であればISMS（情報セキュリティマネジメントシステム）を導入するといった利用方法が挙げられる。