「サイバーセキュリティ経営ガイドライン」をご存知ですか？

経済産業省が独立行政法人情報処理推進機構（IPA）とともに、大企業及び中小企業でITに関するサービスを提供、もしくは自社のサービス上、ITの利用が必要不可欠の経営者向けに策定したガイドラインのことです。

同省は「経営者のリーダーシップの下でサイバーセキュリティ対策が推進されることを期待」とうたっています。実は最初に公表したのは1年以上前の平成27年12月です。そこから改定が行われました。

■サイバーセキュリティ経営ガイドラインの概要

１、サイバーセキュリティは経営問題

２．経営者が認識する必要がある「3原則」

３、情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO等）に指示すべき「重要10項目」

等が定められています。

ここで重要なのは、「3原則」のなかでうたわれている以下の内容です。

「子会社で発生した問題はもちろんのこと、自社から生産の委託先などの外部に提供した情報がサイバー攻撃により流出してしまうことも大きなリスク要因となる。このため、自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要である」

です。どういうことかというと、仕事を出している自分たちだけしっかりとセキュリティ対策をしていてもだめだということです。もっと踏み込んでいえば、たとえ委託先が攻撃を受けた場合でも、そんなセキュリティレベルの低い会社に委託していた方が悪い、と言い切られているのです。

つまり、担当幹部である自社のCISOは、委託先である系列企業やサプライチェーンにも自社と同様のPDCAの運用を含むサイバーセキュリティ対策を行わせなさい、とガイドラインに記載されています。

このような背景から今後、サイバーセキュリティ対策は自社だけの判断ではなく、取引先からの要請で、有無を言わさずやらなければならない（しなければ取引を停止されてしまう）ようになるのは目に見えています。どうせ、やらなければならないのであれば、率先して対策しておいた方が直接の取引先のみならず、全ステークホルダーに向けて良いメッセージを発信できるのではないでしょうか。

詳細；経済産業省