IT・システム全般

中小企業における情報セキュリティの基本「守るべき情報は?」

「情報セキュリティ対策を始めたいのですが、どのようなシステムを導入したら良いですか?」

先日、このような質問をいただきました。情報セキュリティ対策を始めるのに、最初に検討すべきはシステムではありません。この記事では、中小企業における情報セキュリティ対策の基本をご紹介します。

<スポンサードリンク>



情報セキュリティの基本は社員教育

情報セキュリティを始めるのに、最初にやるべきことは社員への教育です。もちろん、経営者自身が学ぶことは、より重要です。

こちらの記事でIT投資で最も大切なのは教育だと紹介しましたが、全く同じことが言えます。むしろ情報セキュリティの方が、システムやツールでカバーできない範囲が多い分、一層、教育が重要になります。

IT投資で最も注力すべきは、人材への教育中小企業におけるIT導入・利用における問題は、スキルのある人材不足によるところがほとんどです。しかし、ますますIT人材の不足が深刻化しつつあり、採用することは困難です。このような状況を受けて、最も注力すべきIT投資は「人材への教育」です。ITで経営を変革したい経営者は、この点を認識しておくべきです。...

情報セキュリティを守らないことによる経営リスクは一層、大きくなってきました。「知らなかった」では済まされない世の中です。

まずは経営者がしっかり学び、自社のセキュリティポリシー(要するに何を守るのか?)を明確にすること。その内容を社員に教育していきます。

では、経営者は何を学べば良いのでしょうか?

身近に相談できる人が居ない場合には、IPA(独立行政法人 情報処理推進機構)が発行している『中小企業の情報セキュリティ対策ガイドライン』を読むと良いでしょう。60ページ程度ですから、本を1冊読むよりも気楽に読むことができます。

しかも内容は大事なことが凝縮されています。まずは見出しだけでも目を通してみてはいかがでしょうか。

「やってはいけない」が散見される

この情報セキュリティガイドラインに沿って対策を進めていくことが基本なのですが、それでも難しいと感じる方もいらっしゃるでしょう。

この記事では、もっともっと基本的なことをお伝えします。最初にやるべきことはズバリ、「守るべき情報を明確にする」ことです。なぜなら、パソコンやインターネット云々以前に、もっと基本的なところで情報セキュリティ事故と思われるシーンを良く目撃するからです。

  • 電車内やカフェ、町中の電話で顧客情報や取引情報などを会話している
  • 同じく公の場で、パソコンやスマホ、ノートが丸見えになっている

これは完全にNGです。
社外秘・関係者外秘の情報を、公の場でオープンにしてしまっているからです。

このような基本が守れないような意識の上で、どんなにパソコンやシステムで対策をしても、お金をドブに捨てるようなものです。

まずはこの「やってはいけない」を食い止めるために、社員に守るべき情報を明確にして、注意喚起する必要があります。パソコンやスマホ、システム・ツールの使い方云々以前の話です。

守らねばならない情報とは?

このような話をすると「うちみたいな零細企業に守らなければならない情報なんてないよ!」と仰る経営者がいます。しかし、そんな会社は存在しません。事業が継続している限り、守らねばならない情報は必ず存在します

一般的に、以下のような情報は守るべき情報であり、社外・関係者外にオープンにして良いものではありません。

顧客情報・個人情報

まずは昨今、最も注意すべき顧客・個人情報です。

  • 氏名
  • 会社名
  • 所属
  • 役職
  • メールアドレス
  • 電話番号

さらには購買履歴や仕切価格なども秘密情報でしょう。

この観点から見ると、お客様の名刺を営業担当のポケットに預け続けることのリスクが見えてきます。名刺は重要な顧客情報であり、情報セキュリティ上の漏洩リスクがある情報でもありますから、組織として管理する必要があります。

名刺管理から始める中小企業のデータ経営(データ活用)未だに名刺を営業個々人が持っていませんか?その場合、かなりの機会損失をしていることでしょう。名刺管理はデータを活用する経営の基本です。本記事では名刺管理ツールを紹介しつつ、その経営上の効果を解説します。中小企業で名刺管理を始めたい人は要チェックです。...

営業情報・技術情報

営業情報には、

  • リリース前の新商品情報
  • 仕入先リスト
  • 販売マニュアル

などがあります。例えば販売力が強みの会社にとって、自社独自のノウハウが詰まった販売マニュアルは、絶対に漏らしてはならないものです。

技術情報には、

  • 設計図
  • 製法
  • 製造ノウハウ

などがあります。

業務上知った情報

お客様から預かった情報など、業務を通じて知った情報は守るべき情報です。その業務に就いていなければ知ることのなかった情報全てです。(ただ、世間一般に公開されている情報は除く)

これらのうち、特に自社にとって大事な情報を抜き出し、公の場での扱いに注意することを教育しましょう。

ちなみに「大事な情報を社員に教えたら、かえって盗まれることになるのでは?」という質問を頂いたことがあります。核心を突くご意見ですが、まずは社員の意識を高め、事業に重要な情報を守ることの方が先決です。内部犯行を食い止める対策は、その次です。

この一番の基本を踏まえた上で、社内ルールやシステム投資を行うのが情報セキュリティ対策の流れです。

まとめ
  • 経営者は情報セキュリティガイドラインを読むべき
  • 守るべき情報を抜き出し、社員教育を徹底する
  • パソコンやシステムへの投資は、その後

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
メルマガ『経営は100種競技!』を毎日配信しています。
マーケティングやITを身につけたい。
ビジネスを楽しみたい。
変化・成長したいというビジネスパーソンにお読みいただいています。