経産省とIPA、「サイバーセキュリティ経営ガイドライン」を策定

　経済産業省と情報処理推進機構（IPA）は28日、「サイバーセキュリティ経営ガイドライン」を策定したことを発表した。サイバー攻撃の高度化による企業の経営リスク増大、個人情報保護法改正やマイナンバー法施行といった状況の変化に対応するためのものだ。

　IPAと経済産業省は、リスクの見える化やセキュリティ強化のための有効な経営的・技術的対策を議論する「サイバーセキュリティリスクと企業経営に関する研究会」を設置。ガイドラインは同研究会による資料となる。ガイドラインは、ITシステム／サービス等を供給する企業の経営者、経営戦略のうえでIT利活用が不可欠な企業の経営者を対象に策定されている。

　ガイドラインは、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO等）に指示すべき「重要10項目」をまとめた内容。36ページのPDFファイルを経産省サイトからダウンロード可能。

【サイバーセキュリティ経営の3原則】
（1）経営者は、IT活用を推進するなかで、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
（2）自社はもちろんのこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要
（3）平時および緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要

【サイバーセキュリティ経営の重要10項目】
（1）サイバーセキュリティリスクの認識、組織全体での対応の策定
（2）サイバーセキュリティリスク管理体制の構築
（3）サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
（4）サイバーセキュリティ対策フレームワーク構築（PDCA）と対策の開示
（5）系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
（6）サイバーセキュリティ対策のための資源（予算、人材等）確保
（7）ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
（8）情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
（9）緊急時の対応体制（緊急連絡先や初動対応マニュアル、CSIRT）の整備、定期的かつ実践的な演習の実施
（10）被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備