プレス発表　中小企業の情報セキュリティ対策ガイドライン改訂版 第3版を公開

2019年3月19日
独立行政法人情報処理推進機構

「中小企業の情報セキュリティ対策ガイドライン」（以下「本ガイドライン」）は、情報セキュリティ対策に取り組む際の、(1) 経営者が認識し実施すべき指針　(2) 社内において対策を実践する際の手順や手法、をまとめたものです。経営者編と実践編から構成されており、個人事業主、小規模事業者をも含む中小企業（以下「中小企業等」）の利用を想定しています。

第3版は第2版（2016年11月公開）から2年4か月ぶりの大幅改訂で、「サイバーセキュリティ経営ガイドライン」の改訂^(脚注1)や、中小企業等を対象としたクラウドサービスの充実化などの環境変化を受けたものです。改訂のポイントは、専門用語の使用を可能な限り避け、ITに詳しくない中小企業等の経営者にとって理解しやすい表現としたことです^(脚注2)。

例えば実践編において、対策に取り組めていない中小企業等が組織的な対策の実施体制を段階的に進めていけるよう構成の見直しを行ったことです。また、クラウドサービスを安全に利用するための留意事項やチェック項目を記し、付録として新たに「中小企業のためのクラウドサービス安全利用の手引き」を追加しました。
本ガイドライン第3版の具体的な改訂ポイントは別紙をご参照ください。

中小企業等ではITの利活用が進む一方で、サイバー攻撃手法の巧妙化、悪質化などにより事業に悪影響を及ぼすリスクはますます高まってきています。

また、サプライチェーンを構成する中小企業においては発注元企業への標的型攻撃の足掛かりとされる懸念も指摘されており、早急な対策実施が必須であると言えます。

本ガイドラインおよび「SECURITY ACTION」制度^(脚注3)の活用によって、ITを利活用している中小企業が情報セキュリティ対策に取り組み、経済社会全体のサイバーリスク低減につながることを期待しています。

（脚注1）

改訂版であるVer2.0は2017年11月に公開された。経済産業省：サイバーセキュリティ経営ガイドラインと支援ツール

（脚注2）

前版では基本的な対策の解説に続き、詳細なリスク分析を踏まえたセキュリティポリシー策定を詳述していた。

（脚注3）

2017年4月から開始した中小企業等を対象に、企業自ら情報セキュリティに取り組むことを自己宣言する制度。「一つ星」と「二つ星」の段階があり、一つ星は本ガイドラインの実践編に示している基本的な対策である「情報セキュリティ対策5か条」に取組むことを宣言すること、二つ星は、本ガイドラインの実践編に示している「5分でできる自社診断」により自社の対策状況を把握し、情報セキュリティ基本方針を策定、外部に公開することを宣言する制度。