「情報セキュリティ」は「経営」の一部
- 舩生 好幸
- 1月12日
- 読了時間: 4分
更新日:1月14日
~経営者様へ:一番大切なのは専門知識よりも「リーダーシップ」~
投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2026.1.14
情報セキュリティと聞くと、
「専門知識が必要そう」
「ITに詳しい人の仕事」
などと感じ、つい後回しにしてしまう中小企業の経営者様や個人事業主の方も多いのではないでしょうか。
インターネットやITがビジネス基盤となっている現在、情報セキュリティ対策は大企業や特定の企業だけの施策ではありません。
中小企業や個人事業主の皆様にとっても、資金繰りや人材育成などと同じく、情報セキュリティ対策は事業経営の一部として捉えるべきテーマです。
たとえば、取引先から預かった顧客情報が入ったパソコンがウイルスに感染し、業務が数日止まってしまった場合、その原因が、
「組織内で顧客情報を保護する方針が周知徹底されていなかった」
「コンピュータウイルス対策は個々の従業員任せだった」
「重要情報・データのバックアップを取得するルールも運用もなかった」
など、現在では「経営上の不備」と判断され得るものであれば、これらの事故の発生は、偶然ではなく必然といってよい時代です。
情報セキュリティ事故の発生は、経営の姿勢そのものを問われる事態になりかねません。
〇経営者様に一番大切なもの:ITや情セキのスキルより「リーダーシップ」
IPA(独立行政法人 情報処理推進機構)が公開する「中小企業の情報セキュリティ対策ガイドライン」第3.1版において、経営者様の「認識すべき3原則」の第1は、
「情報セキュリティ対策は経営者のリーダーシップで進める」ことです。
(上記ガイドライン、P.12、第1部.3.「経営者は何をやらねばならないか」ご参照。)
大切なのは、多忙な経営者様が、さらに時間を削ってITや情報セキュリティの専門家になることよりも、
組織として何を守るのか、どこまで対策するのかを決め、実行を推進するリーダーシップを取ることです。
例えば、
「顧客情報は社外に持ち出さない」
「重要データは必ずバックアップを取る」
といった基本的な情報セキュリティの方針やルールを明確にし、従業員や職場のスタッフに繰り返し伝えるだけでも、現場の行動は大きく変わるでしょう。
また、自組織内にITや情報セキュリティの知識・技能が不足しているとしても、それが一番の問題とはいえません。
税務や労務を専門家に任せるのと同様に、社外の支援を活用することで十分に補えます。
たとえば、ITベンダーに初期設定や運用の相談をする、商工会議所や公的機関のセミナーや相談窓口を利用する、といった方法があります。
小規模事業者向けの分かりやすい、使い勝手の良い公的な支援策もあります。
IPAからは、上述した「中小企業の情報セキュリティ対策ガイドライン」第3.1版のような、無料で活用できるガイドやツール類、そして、
「サイバーセキュリティお助け隊サービス制度」などが提供・公開されています。
(ご参考ブログ)
〇情報セキュリティを経営の一部として捉えることが、安定した事業運営に
中小企業の経営者様や個人事業主様も、自らが情報セキュリティに関心を持ち、必要性を認識し、組織の向かうべき方針を示し、必要に応じて内外の助力を得ながら推進する
――その行動が、事業の情報セキュリティ強度を高め、継続性と信頼性を大きく高める結果につながります。
情報セキュリティを「経営の一部」と捉え、取り組むことが、これからの時代の安定した事業運営につながります。
〇できるところから始めましょう
そして情報セキュリティ対策は、「情報セキュリティ5か条」のような、すぐ取り組める基礎的な対策を徹底することが、大きな効果や安心をもたらす場合も多いです。
〇「情報セキュリティ5か条」
1.OSやソフトウェアは常に最新の状態にしよう!
2.ウイルス対策ソフトを導入しよう!
3.パスワードを強化しよう!
4.共有設定を見直そう!
5.脅威や攻撃の手口を知ろう!
今できる基礎的な対策から、「身だしなみ」や「整理整頓」などと同様に、日々取り組んでいただくことが、皆様を情報セキュリティ事故から守ってくれます。
(ご参考ブログ)
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
コメント