今期の中小企業の情報セキュリティマネジメント指導業務を終えました。
全4回にわたる指導により、情報セキュリティ基本方針・関連規程を作成し、セキュリティアクション二つ星宣言を行う業務です。
中小企業、小規模事業者で情報システム担当者を専任している会社さまはほとんどいないです。兼務で行うところに少なくない時間を費やします。皆様おつかれさまでした。願わくば、なんの事故も起きませんように。何もないのが一番です。
社内規程そのものは、直接的に情報を保護してくれる技術ではありません。しかし、未然に防いでくれるものになります。
昨日、中小企業ではありませんが、大企業であるDeNAで情報持ち出しによる不正の公表がありました。
DeNA元従業員がカーシェア「Anyca」の顧客データを不正利用、カードローンを申し込み | 日経クロステック(xTECH) (nikkei.com)
「経理がお金を持ち出した」であれば、ときどき耳にすると思います。情報も同じように、持ち出すことで直接的な利益になり得ます。
それを防ぐ手立ては、相互牽制をはじめとするガバナンス強化です。DeNAの場合は事件発生からわずか10日で公表まで実施しています。ここまで迅速な対応はなかなかできません。同社では今後内部犯による事故は発生しにくくなるでしょう。
中小企業でも、社内規定が存在すれば、内部不正を行うのを躊躇わせることができます。内部不正はあまり考えたくないものですが、2020年10大脅威の第2位にランクインした問題です。考えなくてはなりません。
セキュリティアクションによって世の中の事故が少なくなることを願っています。