JAPHICマーク取得企業が情報セキュリティ体制を整えるにあたっては、まず経営層が担うべき役割を全うする必要があります。
また従業員についても、個人情報漏えいなどを防ぐための取り組みが求められます。
今回は、JAPHICマーク取得企業における経営層や各部門の従業員の役割について解説します。
JAPHICマーク取得企業の経営層の役割
個人情報対策を含む情報セキュリティ対策を組織全体で推進する上で、JAPHICマーク取得企業の経営層の関与は不可欠です。
経営層は、主に情報セキュリティに関する最終的な責任を負います。
また主な職務については、CISOや基本方針の決定、資源の確保などが該当します。
CISOは、組織全体の情報セキュリティ戦略を統括し、経営層の視点からリスク管理を推進する責任者です。
さらに組織の情報セキュリティポリシーを策定し、対策の全体的な方向性を明確にします。
その他情報セキュリティ対策に必要な予算、人材などの経営資源を確保することも、経営層の大切な職務です。
ちなみに事業規模がそれほど大きくないJAPHICマーク取得企業の場合、経営層が情報セキュリティ関連の業務全般を担うこともあります。
このときはセキュリティコンサルタントや外部の専門機関のガイドラインを活用し、アドバイスを仰ぐことで負担がある程度軽減されます。
各部門の従業員の役割
JAPHICマーク取得企業における以下の部門の従業員には、それぞれ違った役割があります。
・情報システム部門
・総務、人事部門
・事業部門
各項目について詳しく説明します。
情報システム部門
JAPHICマーク取得企業には、情報システム部門など専門のセキュリティ部門が設けられていることも多いです。
こちらの部門の従業員は、組織の情報資産を守るための技術的な対策や運用を担います。
主な職務については、経営層が定めた基本方針に基づき、より具体的なルールや手順を策定・運用することが挙げられます。
さらにファイアウォールやウイルス対策ソフト、侵入検知システムなどの導入・運用・監視も重要な職務です。
その他、脆弱性診断やセキュリティパッチの適用などにより、システムやネットワークの安全性を維持したり、インシデント発生時に初動対応や復旧作業を行ったりします。
総務、人事部門
JAPHICマーク取得企業における総務部門や人事部門の従業員は、個人情報を含む情報資産の管理や従業員教育において重要な役割を担います。
例えば情報資産の管理台帳作成やセキュリティ教育の実施、入退社時の管理や物的なセキュリティ対策などを行います。
管理台帳については、各部門の協力を得て組織内の情報資産をリストアップした上で作成します。
また従業員に対する定期的な情報セキュリティ研修を実施し、意識向上を図ることも求められます。
さらに従業員の入退社時に、情報セキュリティに関する手続きや説明を行い、鍵や入退室管理、書類の保管といった物理的な対策も徹底します。
事業部門
JAPHICマーク取得企業における事業部門では、個人情報を含む情報資産を日常的に取り扱います。
そのため、従業員一人ひとりが情報セキュリティの意識を持つことが大切です。
具体的には、自部門が管理する情報資産を正確に把握し、情報システム部門と連携することが求められます。
またパスワードの適切な管理や、指定されたパソコン・USBメモリの使用など、定められたルールを遵守します。
さらに不審なメールや挙動などを発見した場合、速やかに情報システム部門や責任者に報告することも求められます。
まとめ
JAPHICマーク取得企業は、マークを取得した時点で前述したような各部門の役割が明確になっているかと思います。
しかし個人情報を取り巻く環境は日々変化しますし、社内の従業員もある程度時間が経過すると入れ替わるケースが多いです。
そのため、常に高い個人情報保護体制を構築するためには、日々組織全体の情報セキュリティ体制をアップデートしなければいけません。
