強化される情報セキュリティ政策、求められる企業の対策
はじめに〜ITガバナンスにも地政学が影響〜
最近、日本政府が情報セキュリティを強化する政策を打ち出しており、企業も対応が求められています。
背景には、政府が地政学的な要因を背景とした経済安全保障に対する危機感を抱いていることがあります。ITガバナンスの世界にも、政治動向や地政学が大きく影響する事例の一つです。
「ジョーシス式ITガバナンス」の第2回は、日本政府が新たに導入しつつある情報セキュリティに関する政策のうち、特に注目しておきたい企業のサイバー対策格付け導入の動きと、セキュリティ・クリアランス制度の2つを取り上げます。
1. サイバー対策格付けの導入に向けた動き
1.1 経済産業省が2025年以降の運用想定、5段階にレベル分け
まず、経済産業省(以下、「経産省」)は4月5日、サイバーセキュリティに関する有識者研究会(第8回 産業サイバーセキュリティ研究会)を開催し、企業のサイバー攻撃に対する対策に応じて5段階評価で格付けを導入する構想を示しました。 2025年(令和7年度)以降の開始が見込まれています。
5段階評価の内容は、まだ案の段階であり、確定していません。ただ経産省の資料や各種報道によれば、おおむね、下記の方向性が示されています。
レベル1から3は、企業に最低限求める対策として自己宣言をする方式が検討されています。そして、レベル4から5は社会的に重要なインフラを担う企業が対象となり、第三者の認証機関による認定が想定されています。
また、経産省資料によれば、政府が政府調達に参加したり、補助金等の施策を得る際の要件化も視野に入れている模様です。
1.2 求められる対策の可視化
今後、サイバー対策格付けが導入されると、各企業はレベル分けに応じた施策を実施する必要があるでしょう。取引先としての信頼性を示したり、政府関連の調達に参加したりするための資格となる可能性があります。
レベル1〜3は自己宣言ではあるものの、具体的にどのような対策を実施して満たしているかを示す必要があるでしょう。セルフチェックシートの作成、管理ツールの活用、外部のコンサルタントを起用した検証など、様々な手段が考えられます。
2.セキュリティ・クリアランス制度の創設へ
2つ目の話題は、セキュリティ・クリアランス制度の動きです。
セキュリティ・クリアランス創設に向けた法案(正式名称「重要経済安保情報の 保護及び活用に関する法律案」)が4月9日に衆議院、5月10日に参議院で賛成多数で可決・成立しました。セキュリティ・クリアランスとは、政府職員や民間企業従業員に対して、国家安全保障などに関わる機密情報を扱える資格を付与する制度です。
2.1 民間企業も政府の機密情報を扱うケースが想定
対象は政府が保有する「重要経済安全情報」と指定された情報となり、民間企業が保有する情報は対象ではありません。しかし、民間企業の従業員が政府情報を扱う場面は十分に想定されます。
民間企業が政府関連のプロジェクトに関わることになれば、従業員が機微な情報を目にする可能性が十分にあります。例えば、外部に流出すれば日本の国家安全保障に支障を来すような防衛技術に関する情報や、政府の機密情報が流通するネットワークのセキュリティに関する情報などが想定されます。
資格が付与される対象人物は、本人の同意を得た上で、犯罪歴、薬物使用経験、家族の国籍などが調査されます。関係省庁による判断を経て、10年間の資格が付与されます。
2.2 具体的な運用基準は今後の決定に
この制度の詳細な運用基準については、今後、有識者会議で議論される内容を踏まえて、閣議決定が行われる予定です。セキュリティー・クリアランス制度は、国家レベルの経済安全保障政策の動向と深く関わるだけでなく、日本企業が外国企業とのビジネス案件を獲得するにも重要な制度となっています。
この点、2024年5月10日付日本経済新聞電子版は、政府・与党と経済界の反応を次のように報じています。
高市早苗経済安全保障相は「諸外国と同レベルの情報保全制度を備えることで機微な技術・経済情報を交換できる環境ができる」と説く。高市氏は22年8月の就任以降、制度創設を「悲願」だと訴えてきた。
経団連も2月、機密制度がないため他国の政府調達に加われないと指摘し早期の制度創設を提言した。企業側には最先端技術に関する研究開発の進展やビジネスチャンス拡大への期待がある。
「高市経済安保相の悲願、セキュリティー・クリアランスとは」
3.今からできる管理体制の整備
今回紹介したサイバー対応格付けとセキュリティー・クリアランス制度は、今後、企業に様々な対策を求めてくることが想定されます。現段階でも、対応が可能な事があります。
例えば、経営層としてCISO(最高情報セキュリティ責任者)やCIO(最高情報責任者)が主導して、企業のサイバー防衛能力を上昇させておくことが考えられます。政府が内容を確定してからでは、前もって対処を進めているライバル企業の後塵を拝することになりかねません。攻めのために、守りを早めに固めておくという発想です。
具体的に経営層としては、情報システム部門の管理業務を軽減して、今後の新たな動きに対応できるためのリソースを確保し、「攻めの情シス」としての役割を高めていくことが必要でしょう。そのためには、SaaS等クラウドサービスやITデバイスの管理ツールを導入することも有効です。
そして、今回のサイバー対応格付けやセキュリティ・クリアランス制度は、背景に地政学の動きが深く影響しています。地政学リスクは分野横断的であり、国内外の情勢を踏まえた高度な判断が必要です。したがって、経営ハイレベルでリーダーシップを発揮して対応していくべき課題と位置づけられます。情報システム部門だけでなく、経営企画部、海外事業部、リスク管理部、人事部といった部署も巻き込んだ部門横断的対応も求められます。
この二つの制度を始めとしたITガバナンスに関する政策レベルの動きは、「ジョーシス式ITガバナンス」でも情報をアップデートしていきます。
ジョーシスは、SaaS管理やITデバイス管理のアウトソーシング、シャドーITの検知といった統合管理プロダクトを提供しています。少しでも気になることがあれば、気軽にお問い合わせください。
本Noteで取り上げて欲しいテーマやご意見・ご感想等も歓迎です。
お問い合わせ note@josys.com
ジョーシスについて https://jp.josys.com/
執筆者:川端隆史 ジョーシス株式会社 シニアエコノミスト
この記事が気に入ったらサポートをしてみませんか?