セキュリティ対策に求められる経営層の説明責任

経済産業省サイバーセキュリティ経営ガイドライン、欧州ENISA 、GDPR等に触れながら、企業のセキュリティ対策の在り方ついて解説する。

経済産業省サイバーセキュリティ経営ガイドライン、欧州ENISA 、GDPR等に触れながら、企業のセキュリティ対策の在り方ついて解説する。

⽶連邦取引委員会(FTC)は2019年6⽉、個⼈情報漏えい事故を起こした事業者に対し、これまで通常発出されてきた改善命令内容に加えて、年次でのセキュリティ評価の実施やリスクの⽂書化および経営層による宣誓などを求めた。これらの新たな要求事項について、FTC職員は、FTCが現在重要と考える要求事項を踏まえて命令措置を⾒直したものであるとウェブ上でコメントしている。⽇本国内においても、経済産業省のサイバーセキュリティ経営ガイドラインなどにおいて経営者の関与を強く求めるようになっているが、経営層のセキュリティ対策へのコミットメント(関与)や説明責任を強く求める傾向は海外でも同様となっている。

中国やタイ、ベトナムなど、多くのアジア諸国においても、近年サイバーセキュリティ関連法令の施⾏が相次いでおり、企業に対するセキュリティ対策の要求はますます厳格化されてきている。例えば中国の場合、⾃社内のシステムについて国の定める基準により等級の⾃⼰評価を⾏い、⼀定の重要度を有するシステムについては当局への届け出と第三者機関による審査を義務付けている。等級に応じたセキュリティ基準を満たすことが必要で、違反が発覚した場合は、組織に対してだけでなく、責任者個⼈への罰則が科されうる仕組みとなっている。この等級別セキュリティ基準が2019年12⽉に新基準に変更されることとなっているため、中国に拠点を有する全ての企業は今後コンプライアンスの再確認が必要となるだろう。

欧州連合(EU)の⼀般データ保護規則(GDPR)では、リスクに応じたセキュリティ対策の実装を企業に求めているが、同時に、アカウンタビリティ(説明責任)の原則により、法令順守の状況を証明できるようにしなければならない。このためには、リスクレベルの判定基準や各レベルでのセキュリティ要件を定義してルール化することが必要だ。その上で、それぞれのデータの取扱いがどのリスクレベルに該当するかを判定し、必要なセキュリティ対策を⾏っていることを確認して⽂書化するのが望ましい。ENISA(欧州ネットワーク・情報セキュリティ機関)などがガイドラインも公表しているので、検討に際してはそれらを参考にすると良いだろう。
企業戦略におけるシステム投資やデータ活⽤の重要性が⾼まる⼀⽅で、そのセキュリティ対策における経営層のリーダーシップと説明責任もますます強く求められている。まずは経営者⾃らがそのリスクを正しく認識し、対処⽅針を明確に打ち出すことが必要だ。

ENISAリスクに応じた組織的、技術的対策

組織的対策

  • セキュリティマネジメント(データ管理ポリシー/役割責任の定義/アクセスコントロールポリシー/リソース資産管理など)
  • インシデントレスポンス(インシデントハンドリング/個人データ侵害)
  • 事業継続計画
  • 人事管理(従業員機密保持/トレーニング)

技術的対策

  • アクセス管理
  • ログ・モニタリング
  • データセキュリティ
  • 個人データのバックアップ
  • モバイル/ポータブルデバイス(ノートPCを含む)
  • システム開発ライフサイクルセキュリティ
  • データ破棄
  • 物理セキュリティ

日刊工業新聞 2019年7月30日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。

執筆者

KPMGコンサルティング
パートナー 大洞 健治郎

海外データ保護規制 トレンドと日本企業への影響

お問合せ