JAPHICマーク取得企業は、個人情報を取り扱う企業のお手本のような存在であり、適切な情報セキュリティ体制の構築が求められます。
また、その一環として、適切な内容の情報セキュリティポリシーも策定すべきです。
今回は、JAPHICマーク取得企業の情報セキュリティポリシーにおけるポイントを解説します。
情報セキュリティポリシーの重要性
情報セキュリティポリシーは、企業が実施する情報セキュリティ対策の方針や行動指針です。
JAPHICマーク取得企業ではもちろんすでに情報セキュリティポリシーが策定されていますが、こちらの内容は適切なものになっているか、今一度確認すべきです。
企業の大切な情報を守り、なおかつ顧客や取引先の信頼性を高めるためにも、適切な情報セキュリティポリシーは必要不可欠です。
また、従業員の情報セキュリティ意識を高めるためにも必須の指針だと言えます。
JAPHICマーク取得企業の情報セキュリティポリシーのポイント4選
JAPHICマーク取得企業は、以下のポイントを押さえた情報セキュリティポリシーが策定できているかどうかチェックすべきです。
・保護する情報資産は明確か
・適用対象者の範囲は明確か
・わかりやすい言葉で具体的に書いているか
・トラブルの際の対応を明記しているか
各項目について詳しく説明します。
保護する情報資産は明確か
情報セキュリティポリシーでは、JAPHICマーク取得企業が保護する情報資産を明確に特定しなければいけません。
こちらには、顧客データや財務情報、社内の機密情報などが含まれています。
保護すべき資産をハッキリさせることで、対象範囲が明確になり、情報セキュリティ対策を適切に実施できるようになります。
適用対象者の範囲は明確か
JAPHICマーク取得企業の情報セキュリティポリシーは、適用対象者の範囲が明確なものでなければいけません。
基本的に、自社の従業員は全員情報セキュリティポリシーの適用対象者です。
それ以外にも協力会社や子会社の人員について、必要に応じて対象者の範囲に入れましょう。
また、対象者の役職や地位によって適用範囲が異なる場合は、その旨を併記しておきます。
条件によって範囲が異なる場合、文面だけでは伝えづらいため、図表を用いて整理するとわかりやすくなります。
わかりやすい言葉で具体的に書いているか
情報セキュリティポリシーの内容は、わかりやすい言葉で具体的に書かれていることが望ましいです。
こちらは、従業員全員が目を通すことが理由です。
情報セキュリティに関する知識量は従業員によって異なりますが、目を通せば誰でも実行できるような文章構成が必要です。
情報セキュリティ担当者など、知識が豊富な従業員に合わせた記載方法だと、大部分の従業員は内容を正しく理解できません。
トラブルの際の対応を明記しているか
JAPHICマーク取得企業の情報セキュリティポリシーでは、トラブルの際の対応を明記しているかどうかも確認すべきです。
トラブルが発生したときの対応方法が記載されていなければ、対応が遅れたり、間違った行動をしたりして、取り返しのつかない事態になる可能性があります。
トラブル発生時は、一般的に以下のような流れで対応します。
・事故の検知
・事故の初動処理
・事故の分析
・復旧作業
・再発防止策の検討と実施
情報セキュリティポリシーには、これらの対応の詳細と役割分担、責任の所在などについて明記しておきましょう。
まとめ
JAPHICマークを取得している時点で、ある程度適切な内容の情報セキュリティポリシーが策定されている可能性は高いです。
しかし、取得時点では十分な内容であったとしても、取得から年月が経って不十分なものになる可能性は十分にあります。
JAPHICマーク取得企業は、情報セキュリティ体制の強固さを維持しなければいけないため、情報セキュリティポリシーについてもアップデートが求められます。
