情報セキュリティの責任者は、対策を講じられるだけの知識と経験が必要

この指針は内閣サイバーセキュリティセンター（NISC）と経済産業省などが中心となって策定します。企業にとって最も強い発言力をもつのは株主、つまり投資家です。その投資家への「情報開示」を強く促します。この点については米証券取引委員会（SEC）の取り組みを参考にします。企業が公開する有価証券報告書などにサイバーリスクに関する項目を設けるように促しますが、その際にはセキュリティチェックを行わなければなりません。その過程で現在、システムが置かれている危険な状態に気づいてもらい、早急に手を打つように背中を強く押すのが狙いです。

また、「情報セキュリティー対策を統括するCISO（最高情報セキュリティー責任者）の設置を求めるなど組織のあり方を盛り込む」としていますが、これまでのように「肩書」だけを作っても意味がありません。個人情報や機密情報の管理はもちろん、サイバー攻撃が起こった際には対策責任者となれるだけの知識と経験をもった人物がCISO（最高情報セキュリティー責任者）にならなけれいけません。しかし、現実には企業の中には皆無です。社会全体にも適した人材はほとんどいません。

指針を作ればサイバーセキュリティ対策が進行する、と勘違いしてはなりません。

技術面でも言及します。記事では「サイバー攻撃を未然に防ぐ対策の徹底を促す」として、具体策として、「個人情報の入った端末を社内ネットワークにつなげないようにする」など、攻撃を受けても被害が広がらないような体制の構築も求めることにしています。

個人情報保護に関するJAPiCOマークのような体制構築の目標となる「第三者認証」の仕組みも必要になります。その仕組みとは、投資家や取引先などが企業を選択する際に評価基準を提供するものです。これを促進するには、経産省、総務省などの官公庁が発注する場合には、認証をとっている企業が優遇されるような制度を確立し、認証を受けると有利な条件が得られることを明確にすることも重要で、こういった制度改革も政府は検討していくようです。