これまでに受付手続きが完了した事業者は、「自己宣言事業者検索」で検索できます。
SECURITY ACTIONに取組む事業者の中から、事例を順次ご紹介します。
企業名:有限会社シブヤ(代表取締役 渋谷勲)
所在地:神奈川県横浜市
従業員:3名
業 種:製造業(射出成形・金型設計製作等)
取組み段階:二つ星
今回は、SECURITY ACTIONの一つ星を宣言後、二つ星へステップアップした製造業の取組事例をご紹介します。
わが社の経営支援をお願いしている中小企業診断士の方から勧められたのがきっかけです。わが社ではWORD、EXCELなどの機密資料以外にも技術情報を含む加工データと呼ばれるものがあり、その保護につながると考えたからです。
また、わが社の情報が盗まれる心配もありますが、それ以上にウイルス感染したデータをお客様に送ってしまうなど、関係者に迷惑をかけることは大問題だと考えていました。
これまでセキュリティ対策としてはウイルス対策ソフトを導入している程度でしたが、SECURITY ACTION宣言には費用がかからないし、一つ星であれば自分たちでも十分取組める内容と思ったため、すぐに申込みました。
これまではお客様からセキュリティ対策を要求されることもなく、必要性は感じていませんでしたが、SECURITY ACTIONを紹介されて、上述の理由から必要性を認識しました。
「送付したデータは漏えいすると困るので、確認したらすぐに削除するように」と言われたことや、最近ではお客様がパスワードをかけてメール送付してくることもあり、以前は疑問に感じていましたがSECURITY ACTIONへの取組みをすることで、これらの必要性が少し理解できるようになりました。
わが社ではWindows端末を利用していますが、以前から自動更新の設定にしています。
ウイルス対策ソフトについても導入済みで、ウイルス定義ファイルは自動更新の設定にしています。
5か条ではパスワードは「長く」「複雑に」ということだったので、あらためて確認しましたが、英数字記号をランダムに組み合わせたものを使用していました。
パソコンを使う社員は数名であり、クラウドサービスなどでのデータの共有はしていません。複合機までは意識していなかったため、今後設定を確認してみたいと思います。
どこから情報入手すれば良いのか分からず、対応できていませんでした。
今回、情報処理推進機構(IPA)や内閣サイバーセキュリティセンター(NISC)などのウェブサイトを教えていただき、このような情報を知っていれば未然に防げるケースがあると感じました。今後は定期的に確認して、セキュリティ対策に役立てたいと思います。
極秘案件や、口外しないでほしいと言われた情報に関するデータは、パスワードをかけてやり取りするようになりました。社外との重要データのやり取りは多くないため、まずは社内のやり取りから始めています。
情報セキュリティ対策の必要性を理解することができました。また、社内でも情報セキュリティへの意識は少しずつですが、高まっていると感じています。
一つ星の宣言以降、セキュリティの話題が多く出るようになり、弊社も二つ星を宣言することで、今後ワンランク上の御客様に「弊社はセキュリティ対策に取組んでおり安全です」とアピールできると思い宣言しました。
重要な情報については、USBメモリにバックアップを取り、鍵付きの書庫に保管するようにしました。また、重要な書類についても同様に鍵付きの書庫に保管しています。さらに外部へ持ち出す際は、USBメモリに暗号化して格納し、肌身離さず持ち歩くようにしています。
自社診断を実施して点数が低かった項目については今後対応していきたいと考えています。特に「組織としての対策」については実施できていない項目が多いため、具体的な対策を検討したいと思います。
今回の事例は、情報セキュリティ5か条を実行することから自社の情報セキュリティ対策強化を進め、それにより情報セキュリティへの意識が向上し、二つ星へのステップアップにつながった点が印象的でした。
企業名: 社会保険労務士法人ミライエ(代表社員:石上 慶、根本 啓明)
所在地: 東京都千代田区
従業員: 2名
業 種: サービス業(社会保険労務士事務所)
取組み段階: 二つ星
今回は、SECURITY ACTION宣言した社会保険労務士事務所の取組事例をご紹介します。
『月刊社労士』平成29年3月号でSECURITY ACTIONの紹介記事があり、4月から始まる新しい制度だということで興味を持ちました。『月刊社労士』に掲載されるということは、すなわち全国社会保険労務士会連合会が社労士に推奨しているということですから、業界全体として取り組んでいくものであり、社労士の一人としてともに動いていく必要があると考え、宣言しました。
社労士は、顧問先の従業員等の個人情報を取り扱うほか、企業の経営・財務や事業計画等に関する社外秘の情報や、場合によっては投資家の行動に影響するような情報を知る機会もけっこうあります。もちろん社労士法上の守秘義務がありますので、外に漏らすことはありませんが、情報が漏えいするリスクはあるので、特にデータで情報をいただいた場合は規定に従って適正に管理や廃棄を行うなど、取り扱いには十分に気を使っています。
基本的対策から従業員や組織の対策に関する事項まで、当事務所が取得しているプライバシーマーク制度の取り組みと共通する点も多く、かなりクリアできていたと思います。システム的な対策に関して言うと、多額のコストをかけて設備投資し、情報を守らなければならないようなイメージを持たれている人がいるかもしれませんが、決してそうではありません。たとえば私どもの取り組みを一つ紹介すると、メールの誤送信防止対策では、ミライエにはもうひとり共同代表がいますから、2人の机の間にモニターを置き、メール送信の際はそのモニターでメールの宛先等をお互いに確認してから送信するようにしています。時間的なコストは多少かかりますが、1分もかからない作業でセキュリティ効果があるので、設備投資にあまりコストのかけられない企業でも取り組みやすいのではないでしょうか。自分たちができる範囲と効果を考えながら、取り組むことが大切です。
顧問先の情報セキュリティ対策には、かなりの温度差がありますが、私たちは業務を委託される立場ですから、当然ながら一番高いレベルと同等かそれ以上のセキュリティを常に意識しています。一方で、情報セキュリティにあまり意識が高くない顧問先に対しては、行動でセキュリティを高めるように誘導しています。たとえば顧客から個人情報のファイルにパスワードをつけないメールが送られてきた場合には、こちらから返信する時にパスワードをつけて送り返すようにすると、次回からは先方からもパスワードがついてくることはよくあります。これだけのことで相手側のセキュリティレベルが少し上がるようになります。さらにファイルのやりとりをメールではなくクラウド上で行ったほうが容易ではないか、といった提案で、少しずつクラウドに移行を促していければ、設備投資もなく、ごく自然に相手側のセキュリティレベルを上げることができます。
今回の事例は、コストも考慮しつつセキュリティレベルを高める工夫がみられました。また、顧問先の情報セキュリティ対策の向上にも取組まれていることが印象的でした。
