第4回は、中小企業のセキュリティ対策の現状と、セキュリティアクション（SECURITY ACTION）制度についてご紹介致します。
過去のコラムはこちら>>https://at-jinji.jp/provider/column/171

1.はじめに～人事部門にとってマイナンバーの漏洩防止は大きな課題～

企業の人事部門にとって大きな課題であったマイナンバー制度対応は、マイナンバーの番号通知が開始された2015年10月から始まり、2年が経過しました。この間、制度開始に伴う利便性向上の面では、マイナンバーカードを用いて住民票の写し等が取得できる「コンビニ交付サービス(全国約50,000店)」が、全国418自治体で対応可能となり、対象となる人口も7,575万人となるまでに普及しています。
出所：内閣府ホームページより
(http://www.cao.go.jp/bangouseido/pdf/jigyousya_2909_00-26.pdf)
※マイナンバー 社会保障・税番号制度 概要資料 2017年9月版

しかし、一方で、マイナンバーの漏洩事故もマスコミなどに数多く取り上げられました。

某飲食業では、従業員など約400 人分のマイナンバーが記載された扶養控除等申告書を車で郵便局へ運ぶ途中、車を離れた際に車両の窓ガラスを割られ鞄ごと盗難事故に遭いました。マイナンバーに限らず情報の取り扱いについて、社員への企業内教育などによる徹底が必要だと気づかされる出来事でした。

また、今年2月には某地方自治体が、昨年ふるさと納税をした1,992人について、間違って別人のマイナンバーを記載し、納税者が住む自治体に通知していた事件が発生しました。当ケースは「ワンストップ特例制度」※の事務におけるデータ操作ミスによるものでした。今後マイナンバーの活用拡大が進む中で、改めて正確な事務対応が求められています。
※確定申告を行わなくても、ふるさと納税の寄付金控除を受けられる制度。納税先の自治体が、1年間で5自治体までに限って利用できる。

2.ICTを利活用している企業は労働生産性や「働き方改革度」も高い!?

マイナンバーに続いて、国の施策として大きなテーマとなっている「働き方改革」ですが、今年6月に総務省から発表された「平成28年度通信利用状況調査」に興味あるデータがあります。

具体的な内容は以下の2項目（グラフ）の通りですが、皆様はどう思われるでしょうか？
＊テレワークを導入している企業の労働生産性は、未導入企業の1.6倍
＊ICT教育を行っている企業の労働生産性は、未実施の企業の1.3倍

3.企業では情報セキュリティ事故被害が発生している

このようなICTの活用効果と共に、同じ調査資料では企業のセキュリティ対策への取り組みについて、98%以上の企業が何等かの対策を取っているとしながらも、一方で以下のような厳しい実態が示されています。

＊過去1年間に何らかのセキュリティ被害を受けた企業は、50.1%
＊被害内容は、「ウイルス感染関連が39.6%」、「標的型メール送付が25.9%」が上位を占める

また、今年5月に公表された経済産業省の「平成28年情報処理実態調査」にも同様の数値が示されています。

＊情報セキュリティ対策の実施率は、82.3%
＊この1年で何らかの情報セキュリティインシデント（事故）が発生した企業の割合は、56.3%
出所：経済産業省のホームページより　(http://www.meti.go.jp/statistics/zyo/zyouhou/result-2/pdf/H28_report.pdf)
※情報処理実態調査報告書　

4.中小企業における情報セキュリティ対策は十分にできていない

これらの情報の調査対象企業は大企業から中小企業まで幅広いものですが、中小企業に絞って見ることができる資料として、今年8月にIPA(独立行政法人 情報処理推進機構)から公表された報告書があります。

この報告書の中でも、IT投資の中に情報セキュリティ対策投資を行っていると回答している企業の割合は約8割に達しており、経済産業省の報告と似通った数値となっています。ところが、その対策が十分だと判断している企業は39％で、従業員の情報セキュリティ意識向上が必要だと考える企業が50％であるにもかかわらず、情報セキュリティ教育を実施していない企業が61％もある、と対策実施の難しさを示す結果となっています。

5.中小企業の情報セキュリティの取り組みや実施指針を示す「SECURITY ACTION制度」がスタート

情報セキュリティ対策への取り組みがますます重要になっている中で、プライバシーマークやISMS(Information Security Management System)といった外部機関による第三者認証制度があるものの、中小企業にとっては取得・保持のためのワークロードや費用負担が大きく、ハードルが高いという声も多く聞かれます。中小企業の経営者や社員の意識を高め、効果的な研修や取り組みをスタートさせるきっかけになるものがないのでしょうか？

こうした問題意識に対して、今年2月、情報セキュリティへの取り組みに様々な支援施策やツールを提供しているIPAをはじめ、中小企業の関連諸団体(10団体)による『中小企業における情報セキュリティの普及促進に関する共同宣言』が出され、4月からその本格的な施策「SECURITY　ACTION制度」がスタートしました。

「SECURITY ACTION制度」の特徴は、中小企業経営者自らの取り組みを促し、その対策実施の証として、ロゴマークの使用を許可することです。プライバシーマークやISMSの第三者認証制度とは異なり、最初の取り組みのハードルを下げて、順次、身の丈に合わせてハードルを上げていくことができることから、ITスキルを持った社員やセキュリティ投資資金に余裕のない企業でも、自社の実情に合わせた活動が可能です。また、ロゴマークを付与されることでの様々なメリットについても、今後関連10団体の中で検討が進められる予定です。

SECURITY ACTIONの改善アプローチは、図表4に示す通り大きく2つのフェーズに分かれます。最初のフェーズは、図の右側の流れに示したロゴマーク(二つ星)を取得するまでであり、手順としては、IPAが提供している各種支援ツールを使用しながら以下の1～5までのステップを踏みます。

次のフェーズとして、手順6にある自社のレベルにあった改善施策を継続的に実施していきます。

【SECURITY ACTIONの手順】

1. 情報セキュリティ5か条(2. の自社診断25項目の中の最初の5項目と同じ内容です)」を遵守することを、経営者自ら宣言する。(この段階で、ロゴマーク（一つ星☆）の申請ができます)
2. 「5分でできる! 情報セキュリティ自社診断」の25項目について現状を評価する。
3. 「中小企業の情報セキュリティ対策ガイドライン」を参考に、自社のセキュリティポリシー(基本方針)を作成する。
4. 作成したセキュリティポリシー(基本方針)を、自社のホームページなどで開示する。
5. ロゴマーク(二つ星☆☆)を申請する。
6. 「中小企業の情報セキュリティ対策ガイドライン」や、「情報セキュリティハンドブック」を参考に、自社で作成したセキュリティポリシーを踏まえた改善施策を検討し、継続的に実施していく

6.中小企業における“SECURITY ACTION”の取り組み（事例紹介）

こうした「SECURITY ACTION制度」にいち早く注目し、自らロゴマーク(二つ星)取得に取り組んだのが、株式会社マネージ（以下、マネージ社）です。

千葉県内のITコーディネータ資格者組織であるNPOちば経営応援隊（以下、NPOちば）では、中小企業・小規模事業者の「SECURITY ACTION」を推進・サポートするのに際して、活動の実践モデル（成功事例）の必要性を感じ、以前より事業改革等でお手伝いをしているマネージ社の藤田聡社長（写真）に協力を得ることができました。

今回は、同社から特別に許可をいただいて、皆様に実施したプロセスとポイントをご紹介いたします。

藤田社長は、社長一人が現状評価や改善施策を考えるのでなく、これを社員のキャリアアップや将来の事業変革に繋げていくことの重要性を意識し、情報セキュリティに関心の高い社員2名を含めた連携プロジェクト体制を作られました。

事前準備の中で、こうした藤田社長の思いと私達の試行モデル構想を十分に擦り合わせて、具体的な活動計画とスケジュールに展開できたことが、プロジェクトを効率良く実践出来た要因だと思います。
実際には、前述の図表4の流れに沿って以下のようなセッションプロセスの検討会を行いました。

1日目のセッションの後、藤田社長から「この活動を全社研修に位置付ける」との意向があり、IPA提供の「5分でできる自社診断（アンケート）」を社員の約8割を超える92名の方が実施しました。これを集計した結果、全25項目での評価点平均(各項目4点満点x25項目=100点)は74.4点となり、IPAが実態調査協力企業28社に対して行った評価点平均(70.2点)を大幅に上回りました。この要因はマネージ社のIT企業としての情報リテラシーの高さ、プライバシーマーク取得による日常管理の徹底が挙げられます。

2日目のセッションでは、自社診断の結果を俯瞰し、評価の低かった6項目について対応策を協議しました。例えば「No.21：個人所有のIT機器の業務利用時の取り扱い」に関しては、個人所有/会社貸与などの使用実態と現在の社内規程を再確認し、以下の改善方針と対応策を決定しました。

⇒＊現規程の一律禁止では厳し過ぎるので、「業務利用」の意味(①社内間の連絡、②お客様との連絡、③Webアクセス等)を明確にして、条件付きのルールを考える。 

最後に、以上２回のセッションを通じて、藤田社長から頂いた以下のコメントをご紹介します。

「弊社はお客様と一体になった形でのシステム関連の業務が多く、情報セキュリティには特に力を注いでいる。2005年のプライバシーマーク取得以来、体制・対策を整備しながら、社員教育にも努め個人情報保護士28名、情報処理安全確保支援士5名を有し、お客様から高い信頼を得ている。今回のプロジェクトには、以下の効果を期待して参画した。 

＊情報セキュリティへの取り組みを対外的に明示することで、より高い信頼性を確立する。
＊一般の社員もSECURITY ACTION構築に携わることで、全体の意識向上を図る。

結果としては、NPOちばのご協力で、ここまで比較的容易に構築ができた。『５分でできる自社診断』を全社員対象に実施した結果、基本的な対策が全社に浸透していることが確認できた一方で、ＩＴ環境面では幾つかの新たな改善すべき点も判明した。ツールの活用にはITコーディネータの支援が有効で、中小企業向け対応では、低コスト・短期間で情報セキュリティ対応が導入できることも理解できた」（藤田　聡）

7.この記事の執筆者　～NPO法人ちば経営応援隊～

　NPOちばは、主に千葉県下の中小企業の経営力向上を支援するために活動しているITコーディネータ協会の届出組織のひとつです。所属する約40名の会員は、ＩＴコーディネータ資格に加え、MBA、中小企業診断士、技術士、プロジェクトマネージャ(PMP)、各種の情報処理技術者資格など、会員それぞれのキャリアを裏付ける様々の資格を有し、経営全般とＩＴ（情報技術）の橋渡しを担う専門家集団です。

特に情報セキュリティ分野では、IPAのセキュリティプレゼンターの資格を得て各地の商工会議所などと連携し、中小企業の情報セキュリティ対策の啓蒙と推進活動を行っています。今年度は自組織内の情報セキュリティの取組みを強化してSECURITY ACTIONのロゴマーク(二つ星)を取得し、普及賛同団体としてのロゴマークも取得しました。

今回の実践モデル活動を通じて、中小企業にとって標準的なアプローチの「ひな形モデル」を作ることができました。今後は、これをベースにそれぞれの企業の実情に沿った導入サポートを進めることができますので、身の丈に合ったセキュリティ対応を相談したいという企業の皆様は、是非、お気軽にお問い合わせください。お待ちしています。

※NPO法人 ちば経営応援隊  HP：http://npo-chiba-keiei-oentai.org/
窓口(otoiawase@npo-chiba-keiei-oentai.org)

川名 正幸　アイティーム　代表

大手IT企業に勤務する傍ら、NPOちばの活動に参加し、中小・小規模事業者の支援活動を実施。情報セキュリティ分野を中心に、BCPやERPなど企業のリスク管理全般に精通。

荒木 勝利　クリエイティブ工房　代表

大手IT企業に30数年勤務し営業をはじめＳＥの研修・人材育成に従事。現在、マネージ社の事業承継・業務改革等のサポートなど、ＮＰＯちばで精力的に活動中。