情報セキュリティの取り組みの重要性

「内部統制評価基準 勝ち抜く会社の800のポイント」を活用した内部統制の仕組みづくりでは、内部統制に関わる組織経営のプロセスを８つの側面（カテゴリ）に分けて、質問を通じて具体的に仕組みに落とし込んでいきます。

カテゴリ６．情報セキュリティについて見ています。

情報セキュリティの取り組みについて、トップからパート、アルバイトを含む社員まで、さらには業務委託先などのパートナーまで、その重要性を共有することから始めます。

６．（１）情報セキュリティの経営方針としての周知
情報セキュリティを経営方針のひとつとして社内外に周知し、経営者から職員に至るまで十分に浸透していますか。

情報セキュリティを推進しているIPA（独立行政法人情報処理推進機構）が公開している「情報セキュリティ10大脅威 2021」に、企業・組織における脅威が挙げられています。

「情報セキュリティ10大脅威 2021」　組織　（前年順位）
1位 ランサムウェアによる被害
2位 標的型攻撃による機密情報の窃取
3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW
4位 サプライチェーンの弱点を悪用した攻撃
5位 ビジネスメール詐欺による金銭被害
6位 内部不正による情報漏えい
7位 予期せぬIT基盤の障害に伴う業務停止
8位 インターネット上のサービスへの不正ログイン
9位 不注意による情報漏えい等の被害 
10位 脆弱性対策情報の公開に伴う悪用増加

ランサムウェアによる被害、標的型攻撃は関連していて、2021年5月に米国で発生した石油パイプライン企業へのサイバー攻撃では、社内の情報システムがランサムウェアに感染したことで、石油を供給するパイプライン全体の稼働が一時停止してしまうという事件に発展しました。
日本でも最近、全国の自治体から公共事業の施工管理などを請け負っている建設コンサルタント会社が、ランサムウェアによるサイバー攻撃を受け、業務の関連データが盗み出されたおそれがあると明らかにしました。
大手機関ばかりでなく、中小企業でも攻撃の対象になることがわかります。（1位、2位）

2020年からコロナ禍の影響によりテレワークへの移行が増加したことで、ウェブ会議サービスやVPNの本格的な活用の始まりに伴い、それらを狙った攻撃が発生。ウェブ会議ののぞき見やテレワーク用PCのウイルス感染のおそれが新たな課題になりました。（3位）

業務委託先の社員が情報漏洩の事故に遭い、自社の重要な顧客のデータが漏洩するというような事象は、自社だけでなくサプライチェーン全体のセキュリティ対策の重要性を示しています。（4位）

ひとたび事故が発生すると、顧客や関係先の重要情報の漏洩にもつながることから、そのこと自体の影響もさることながら、顧客や取引先など被害者への損害賠償の支払い、取引停止や顧客流出、対応に関わる業務効率のダウンなどその代償は甚大です。

経営者がまず情報セキュリティの重要性について理解し、その対策にリーダーシップを持って取り組みむことが大切です。

★★

内部統制評価基準改訂版「内部統制評価基準 勝ち抜く会社の800のポイント」については、NPO法人内部統制評価機構のウェブサイトをご覧ください。