セキュリティ規程
ルールの見直し
セキュリティ規程が作成された次の対応として、ルールの見直しをしていく必要があります。特に、デジタル化の対応が進む今日において、変化スピードが上がっており、ルールの見直しが後手に回らないようにしましょう。
Point① 現状のルールと現在の業務状況の差分を確認
すでにある規程を見直す際には規程の文言だけを見るのではなく、デジタル化の実態や現状業務との矛盾についても検討をする必要があります。
規程修正の例
| 規程の文面 | 現状 | 修正案 |
|---|---|---|
| 社外のファイルストレージを利用してはならない | クラウド環境の利用を推奨している | 会社が定めたクラウド環境、ファイルストレージ以外を利用してはならない |
| ファイルをEメール添付する際は、パスワード付きZipを利用する | クラウドを利用したファイル共有を行う | ファイルを外部と共有する際は、会社が定めたファイル共有ツールを利用する |
| 在職中に得た情報を退職時に持ち出してはならない | 業務利用で個人所有端末を利用している | 在職中に得た情報は退職時に返却および削除を行い、機密保持契約書を取り交わす |
まずは、規程の文面と現状の業務について差分や矛盾があるところを洗い出してみましょう。また、業務の変化において規程の中で定義されていないというケースもあります。これらも洗い出して追加をしていきましょう。また、不要なものは削除するという対応も必要です。
また、規程に矛盾がでるとそれ自体が脆弱性となります。内部不正の要因となる機会となるため、注意が必要です。
Point② 新たな脅威の出現や従業員からの要望で見直しも重要
規程の運用を開始した後にも、社員や職員の要求や社会状況の変化、新たな脅威の発生などに応じて、定期的な見直しが必要です。定期的な見直しのためには、情報収集を行うことが必要です。さらに、従業員がルールを守っているかの情報収集をし、見直しに活かしていきます。
法改正やセキュリティの認識が改められた時などに見直しを行います。
パスワードの解析性能の向上や攻撃手法の確立により見直しを行います。
生産性の観点や働き方の観点から従業員の要望を取り入れ見直しを行います。
出典:総務省
「国民のためのサイバーセキュリティサイト」をもとに作成
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_executive_04-6.html