なぜ、経営者が情報セキュリティ対策に関与するのか

私、岩下の担当回では、情報セキュリティに関する記事を提供しています。
今回は「なぜ、経営者が情報セキュリティ対策に関与するのか」です。

　経済産業省は独立行政法人情報処理推進機構（IPA）とともに策定した「サイバーセキュリティ経営ガイドライン」において、経営者が認識する必要のある「3原則」を挙げています。
　要約すると、経営者は、①自らのリーダーシップで、②自社のみならずビジネスパートナーも含めてサプライチェーン全体に配慮し、③関係者と常にコミュニケーションをとらなければいけないという内容です。
　一体、なぜ、経営者は情報セキュリティ対策に自ら関与する必要があるのでしょう。いくつか理由を挙げて、考えてみたいと思います。

1.組織や従業員にリーダーシップの存在と責任を明確にできる

　経営者の関与は、情報セキュリティを組織の戦略的な目標に組み込むことを意味します。また、情報セキュリティへの取り組みを他の部門や従業員に示し、セキュリティの重要性を強調します。そして、その取り組みに対して、トップが責任を持つことを宣言する役割を果たします。

2. 資源の割り当てを適切に実施することができる

セキュリティ対策には予算、技術リソース、トレーニング、人員配置などが必要ですが、経営者の関与は、その支援の下で、必要な資源が割り当てられ、セキュリティ対策を適切に実施することができることを意味します。

3. 外部の利害関係者との信頼構築に優位に働く

経営者の関与は外部の利害関係者に対して、情報セキュリティへの真摯な取り組みをアピールし、組織の信頼性を高めるため、良好な関係を築くことができます。

　いかがでしょう。上記のいずれの理由においても、会社のトップが関与する事実がその取り組みに参画する者に成功を期待させ、協力を促す原動力となっているのがお分かりいただけますでしょうか。
　つまり、経営者の情報セキュリティ対策への関与は取り組みの効果と成功を確保する行為だから必要なのです。

　普段、あまり触れる機会がなく、コンピューターやセキュリティに苦手意識がある方もいらっしゃるかとは思いますが、情報セキュリティ対策は情報部門や担当者におまかせにするのではなく、共に取り組む姿勢を内外にしっかりアピールしましょう。

　「なぜ、経営者が情報セキュリティ対策に関与するのか」、いかがでしたか。 記事をきっかけに情報セキュリティに関心を持ち、ご自身の会社の情報セキュリティ対策を確認してみましょう。

参考：経済産業省『サイバーセキュリティ経営ガイドラインと支援ツール』

※経済産業省「サイバーセキュリティ経営ガイドライン」における3原則
(1) 経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
(2) サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
(3) 平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

（ITコーディネータ　岩下　洋文）