取組紹介

自己宣言事業者一覧

これまでに受付手続きが完了した事業者を公表します。

取組紹介

SECURITY ACTIONに取組む事業者の中から、事例を順次ご紹介します。

事例1

事例1画像

企業名:有限会社シブヤ(代表取締役 渋谷勲)
所在地:神奈川県横浜市
従業員:3名
業 種:製造業(射出成形・金型設計製作等)
取組み段階:一つ星

今回は、SECURITY ACTION宣言した製造業の取組事例をご紹介します。

SECURITY ACTIONを知りすぐに申込み
—SECURITY ACTIONを宣言しようと思った理由は何でしょう?

わが社の経営支援をお願いしている中小企業診断士の方から勧められたのがきっかけです。わが社ではWORD、EXCELなどの機密資料以外にも技術情報を含む加工データと呼ばれるものがあり、その保護につながると考えたからです。
また、わが社の情報が盗まれる心配もありますが、それ以上にウイルス感染したデータをお客様に送ってしまうなど、関係者に迷惑をかけることは大問題だと考えていました。
これまでセキュリティ対策としてはウイルス対策ソフトを導入している程度でしたが、SECURITY ACTION宣言には費用がかからないし、一つ星であれば自分たちでも十分取組める内容と思ったため、すぐに申込みました。

SECURITY ACTION宣言をきっかけに情報セキュリティ対策の必要性を認識
—事業を実施する中で、情報セキュリティへの対応が必要だと感じた場面はありましたか?

これまではお客様からセキュリティ対策を要求されることもなく、必要性は感じていませんでしたが、SECURITY ACTIONを紹介されて、上述の理由から必要性を認識しました。
「送付したデータは漏えいすると困るので、確認したらすぐに削除するように」と言われたことや、最近ではお客様がパスワードをかけてメール送付してくることもあり、以前は疑問に感じていましたがSECURITY ACTIONへの取組みをすることで、これらの必要性が少し理解できるようになりました。

5か条をもとにセキュリティ対策を見直し
—「情報セキュリティ5か条」に関する具体的な取組みを教えて下さい
OSやソフトウェアは常に最新の状態にしよう!

わが社ではWindows端末を利用していますが、以前から自動更新の設定にしています。

ウイルス対策ソフトを導入しよう!

ウイルス対策ソフトについても導入済みで、ウイルス定義ファイルは自動更新の設定にしています。

パスワードを強化しよう!

5か条ではパスワードは「長く」「複雑に」ということだったので、あらためて確認しましたが、英数字記号をランダムに組み合わせたものを使用していました。

共有設定を見直そう!

パソコンを使う社員は数名であり、クラウドサービスなどでのデータの共有はしていません。複合機までは意識していなかったため、今後設定を確認してみたいと思います。

脅威や攻撃の手口を知ろう!

どこから情報入手すれば良いのか分からず、対応できていませんでした。
今回、情報処理推進機構(IPA)や内閣サイバーセキュリティセンター(NISC)などのウェブサイトを教えていただき、このような情報を知っていれば未然に防げるケースがあると感じました。今後は定期的に確認して、セキュリティ対策に役立てたいと思います。

—その他の取組みがあれば教えて下さい

極秘案件や、口外しないでほしいと言われた情報に関するデータは、パスワードをかけてやり取りするようになりました。社外との重要データのやり取りは多くないため、まずは社内のやり取りから始めています。

効果を実感、同時に課題も発見
—1段階目(一つ星)の効果は?

情報セキュリティ対策の必要性を理解することができました。また、社内でも情報セキュリティへの意識は少しずつですが、高まっていると感じています。

—2段階目(二つ星)へのステップアップは?

今のわが社の体制だけで対応するのではなく、外部の専門家などのサポートを得ることができれば、二つ星へのステップアップに取り組みやすいと考えています。

おわりに

今回の事例は、情報セキュリティ5か条を実行することから自社の情報セキュリティ対策強化を進め、それにより社員の意識向上が図られた点が印象的でした。

事例2

事例2画像

企業名: 社会保険労務士法人ミライエ(代表社員:石上 慶、根本 啓明)
所在地: 東京都千代田区
従業員: 2名
業 種: サービス業(社会保険労務士事務所)
取組み段階: 二つ星

今回は、SECURITY ACTION宣言した社会保険労務士事務所の取組事例をご紹介します。

社労士業界全体で取り組む必要があると考えSECURITY ACTIONを宣言
—SECURITY ACTIONを宣言しようと思った理由は何でしょう?

『月刊社労士』平成29年3月号でSECURITY ACTIONの紹介記事があり、4月から始まる新しい制度だということで興味を持ちました。『月刊社労士』に掲載されるということは、すなわち全国社会保険労務士会連合会が社労士に推奨しているということですから、業界全体として取り組んでいくものであり、社労士の一人としてともに動いていく必要があると考え、宣言しました。

顧問先からの預かり情報で情報セキュリティ対策の必要性を認識
—事業を実施する中で、情報セキュリティへの対応が必要だと感じた場面はありましたか?

社労士は、顧問先の従業員等の個人情報を取り扱うほか、企業の経営・財務や事業計画等に関する社外秘の情報や、場合によっては投資家の行動に影響するような情報を知る機会もけっこうあります。もちろん社労士法上の守秘義務がありますので、外に漏らすことはありませんが、情報が漏えいするリスクはあるので、特にデータで情報をいただいた場合は規定に従って適正に管理や廃棄を行うなど、取り扱いには十分に気を使っています。

多額のコストをかけなくても情報セキュリティ対策はできる
—「5分でできる!情報セキュリティ自社診断」を実施されたと思いますが、いかがでしたか?

基本的対策から従業員や組織の対策に関する事項まで、当事務所が取得しているプライバシーマーク制度の取り組みと共通する点も多く、かなりクリアできていたと思います。システム的な対策に関して言うと、多額のコストをかけて設備投資し、情報を守らなければならないようなイメージを持たれている人がいるかもしれませんが、決してそうではありません。たとえば私どもの取り組みを一つ紹介すると、メールの誤送信防止対策では、ミライエにはもうひとり共同代表がいますから、2人の机の間にモニターを置き、メール送信の際はそのモニターでメールの宛先等をお互いに確認してから送信するようにしています。時間的なコストは多少かかりますが、1分もかからない作業でセキュリティ効果があるので、設備投資にあまりコストのかけられない企業でも取り組みやすいのではないでしょうか。自分たちができる範囲と効果を考えながら、取り組むことが大切です。

—外部に対してどのような情報セキュリティ対策を求めていますか?

顧問先の情報セキュリティ対策には、かなりの温度差がありますが、私たちは業務を委託される立場ですから、当然ながら一番高いレベルと同等かそれ以上のセキュリティを常に意識しています。一方で、情報セキュリティにあまり意識が高くない顧問先に対しては、行動でセキュリティを高めるように誘導しています。たとえば顧客から個人情報のファイルにパスワードをつけないメールが送られてきた場合には、こちらから返信する時にパスワードをつけて送り返すようにすると、次回からは先方からもパスワードがついてくることはよくあります。これだけのことで相手側のセキュリティレベルが少し上がるようになります。さらにファイルのやりとりをメールではなくクラウド上で行ったほうが容易ではないか、といった提案で、少しずつクラウドに移行を促していければ、設備投資もなく、ごく自然に相手側のセキュリティレベルを上げることができます。

おわりに

今回の事例は、コストも考慮しつつセキュリティレベルを高める工夫がみられました。また、顧問先の情報セキュリティ対策の向上にも取組まれていることが印象的でした。