2024年3月27日
2020年4月2日
4月からいよいよ中小企業にも働き方改革関連法が施行スタートしました。
これにより、中小企業にも長時間労働抑制などの働き方改革の取り組みが必要になります。最近では、テレワークを活用して長時間労働の削減を図る企業も増えてきました。
また、新型コロナウイルスの感染拡大により在宅勤務を導入する企業も急増していますね。
スモールビジネスの場合は、社員数も少なくテレワークの導入が比較的しやすいので、既に取り入れている企業も多いです。
テレワークはとても便利ですが、一方で情報漏えいのリスクの拡大が気になるところですよね。
そこで、今回はセキュリティ対策の重要性と実施方法について解説します。
なぜ情報セキュリティ対策に取り組むのか?
日本の国家IT戦略を支援する独立行政法人情報処理推進機構(IPA)では、中小企業の情報セキュリティガイドラインを発行しています。 その中で、情報セキュリティ対策を怠ることで事業者が被る4つのリスクをまとめています。
1. 金銭的損失
万が一、顧客情報が1件だけでも流出してしまった場合、その影響は広範囲に及ぶ可能性があります。 例えば、流出したネットバンキングやクレジットカードなどの決済情報が悪用されれば、自社だけでなく他の企業にも被害が広がります。
2. 顧客喪失
一度でも情報漏洩が起こると、件数や内容にかかわらず、事業主の管理責任が問われます。 その際に適切な対応を怠ると社会的評価や顧客の信頼喪失につながります。
3. 業務停滞
情報システムの事故が起きると、しばらくの間、PCのアップデートやネットワークのメンテナンスにより業務が停滞します。 停滞期間中も人件費等のコストは発生し続けるため、売上や利益を圧迫することになるでしょう。
4. 従業員への影響
情報データが簡単に改ざん、漏えいしてしまう職場では、情報セキュリティに対する従業員のモラルが低下する可能性があります。 近年、従業員が情報を抜き取ったことで巨大な損失につながった事件が発生しています。従業員モラル向上のためにも、セキュリティ対策に取り組みましょう。
高度情報化が加速する現代では、情報やデータは経営にとっての生命線です。 データは人、モノ、カネに次ぐ第4の資源とも言われます。 単なる個人情報保護や法令遵守の観点だけでなく、自社の経営資源を守る取り組みだと認識しましょう。
セキュリティ対策のポイント
ガイドラインでは、経営者が守るべき「3原則」についても触れています。
1. 情報セキュリティは経営者のリーダーシップで進める
先ほども説明したように、情報は経営資源そのものです。 誰よりも事業主である経営者が中心となって情報セキュリティに取り組むことが必要です。自社に合った情報セキュリティ対策の方法を常に経営者が判断できるようにしておきましょう。
2. 委託先のセキュリティ対策も考慮する
忘れがちなのが、委託先のセキュリティ対策です。
近年の情報セキュリティ事故は委託先から発生するケースも増えています。特に、スモールビジネスの事業主の場合、委託先はフリーランスなどの個人が中心でしょう。個人の委託先に対しても契約時に情報セキュリティ対策状況を確認するようにしましょう。
3. 関係者と情報セキュリティに関するコミュニケーションをとる
普段の業務に追われていると、セキュリティ対策が後回しになる場合があります。
ファイルのやり取りや顧客情報を取り扱う際には、常に関係者とコミュニケーションをとりながら、どのようにデータをやり取りするかをルール化しておきましょう。
なお、最近ではウイルス対策ソフトなど、情報セキュリティ対策の方法はたくさん存在しています。 しかし最も重要なのは、関係者間のコミュニケーションです。 情報セキュリティに関する確認や相談を普段の業務の中に取り入れ、情報漏洩のリスクを最小限に抑えましょう。
ちなみに、スーパー秘書™では、「顧客情報を扱う際は必ずExcelなど必ずパスワードをつける」、「システムを使う業務で担当者が変更した際はパスワードを変更する」などのルールで運用をしています。
また、関わるメンバー全員にやりとりを共有するのでなく、個別のチャットグループやメーリングリストなどを作り、情報の公開(共有)を制限することも効果的です。
テレワークにおけるセキュリティ対策
最近では会社ではなく、自宅などの事業所から離れた場所で働くテレワークを導入する企業が増えてきました。そこで、テレワークの導入方式と、セキュリティ対策の考え方についてご紹介します。
総務省では、これからテレワークを導入する企業に向けて『テレワークセキュリティガイドライン』を発行しています。 このガイドラインの中で、テレワークには6つの導入方式があることを紹介しています。
参考元:総務省 平成30年4月 『テレワークセキュリティガイドライン第4版 別紙3』( P.9 )
「テレワークセキュリティガイドライン」の9ページの表では、左になるほどセキュリティレベルが高くなりますが、比例するように、コストも高くなります。
スモールビジネスの経営者にとって一番導入しやすいのは会社PCを持ち帰る方式でしょう。 しかし、PC持ち帰り方式は情報漏洩のリスクが高くなるため、ユーザーである社員のセキュリティ意識を高める必要があるでしょう。PC持ち帰り方式では、例えば下記のようなルールを決めておくことがおすすめです。
セキュリティ対策の例
- 仕事中は仕事に関係のないWEBサイトを閲覧しない
- 移動中や自宅以外の場所ではPCから目を離さない
- 必要なデータはなるべくクラウド上に保管する
- 重要な情報は暗号化、パスワード化する
- PCを開いている際は、背後にも気を付ける
セキュリティ対策に関連する助成金
情報セキュリティ対策は経営に必要な取り組みである一方でコストも発生します。 しかし、こうしたセキュリティ対策に対して国や自治体から補助金や助成金が支給される場合があります。以下にご紹介します。
1. 東京都サイバーセキュリティ対策促進助成金
東京都限定ですが、セキュリティ対策関連費用に対して最大1,500万円まで助成される制度があります。 情報処理推進機構が実施するセキュリティ対策の自己宣言「SECURITY ACTION」に取り組み、レベル2の宣言を行うだけで対象になります。
・対象
IPA(独立行政法人 情報処理推進機構)が実施しているSECURITY ACTIONの2段階目(★★二つ星)を宣言している都内の中小企業者・中小企業団体
・助成対象経費
サイバーセキュリティ対策を実施するために必要となる下記の機器等の導入およびクラウド利用に係る経費
- 統合型アプライアンス(UTM等)
- ネットワーク脅威対策製品(FW、VPN、不正侵入検知システム等)
- コンテンツセキュリティ対策製品(ウィルス対策、スパム対策等)
- アクセス管理製品(シングル・サイン・オン、本人認証等)
- システムセキュリティ管理製品(アクセスログ管理等)
- 暗号化製品(ファイルの暗号化等)
- サーバー(最新のOS塔載かつセキュリティ対策が施されたものに限る)
- 標的型メール訓練
・助成率
助成対象経費の1/2以内
・助成額
1500万円(下限額 30万円)※標的型メール訓練に関しては別途規定
2. 東京都 事業継続緊急対策(テレワーク)助成金
昨今のコロナウイルス対策により、東京都では最大250万円まで100%助成する制度を発足させました。
・対象
常時雇用する労働者が2名以上999名以下で、都内に本社または事業所を置く中堅・中小企業等。その他にも要件あり。
・助成事業の実施期間
支給決定日以後、令和2年6月30日までに完了する取組が対象。
・助成対象経費
- 機器等の購入費(例:パソコン、タブレット、VPNルーター)
- 機器の設置・設定費 (例:VPNルーター等機器の設置・設定作業費)
- 保守委託等の業務委託料(例:機器の保守費用)
- 導入機器等の導入時運用サポート費 (例:導入機器等の操作説明マニュアル作成費)
- 機器のリース料(例:パソコン等リース料金)
- クラウドサービス等ツール利用料(例:コミュニケーションツール使用料)
・助成金上限額
250万円
・助成率
10/10
まとめ
情報セキュリティ対策は、現代では規模を問わず、企業経営になくてはならない取り組みです。 IT技術の進化とともにデータや情報は簡単に誰でもさわれるようになってきました。 だからこそ、ますます情報漏洩やデータ改ざんのリスクが広がっています。
情報セキュリティ対策は自社を守る取り組みだと強く認識したうえで、助成金制度も活用しながら情報セキュリティ対策を進めて、トラブルのないテレワークを推進していきましょう!