2023.05.29(2023.08.09更新)

情報セキュリティ概要・トレンド

経産省が「技術情報管理 自己チェックリスト」を公開!その内容とは?

共同開発やオープンイノベーションが進む中、技術情報の漏えいは深刻化しています。組織にとって資産である大切な技術情報を、いかにして取り扱い、守るかが企業の大きな課題となっていることは言うまでもありません。しかし実際には、対策が十分とは言い切れない中小企業が多いことも事実でしょう。
そこで経済産業省が、情報セキュリティ対策のマニュアルとして、国の認証制度である「技術情報管理認証」をもとにした「技術情報チェックリスト」を作成・公開しました。
今回は、公開された背景や主なチェック項目などを解説していきます。

MDM導入のご検討・
ご相談はこちら

経済産業省が「技術情報管理 自己チェックリスト」を公開

経済産業省は、経営・実務の視点から技術情報の流出防止において必要とされる取り組みをまとめた「技術情報管理 自己チェックリスト」を公開しました。企業にとって、技術情報の漏えいを防ぐためのセキュリティは欠かせません。本リストは、専属の情報セキュリティ対策の担当者がいない中小企業でも、セキュリティ対策を強化する手段として活用してもらうことを目的としています。

「技術情報管理 自己チェックリスト」とは?

「技術情報管理 自己チェックリスト」は、リスト化された技術情報を管理するための必要な事項が明記されたガイドラインです。意識改革とともに、その対策を盛り込んだチェックシートになっています。

本リストの主な目的は以下の2つです。

  • これまで情報セキュリティ対策に取り組んだ経験がない事業者が、まず取り組むべきことを把握できる
  • これまで情報セキュリティ対策に取り組んできた事業者が、これまでの取り組みを振り返り、不足・課題を確認できる

「技術情報管理 自己チェックリスト」が公開された背景

本リスト公開の背景には、技術情報の漏えいにおける流出経路として、取引先によるものが多くを占めていることがありました。技術情報は、企業にとって競争力の要とも言えます。技術情報の流出を防ぐべく、策を講じる必要に迫られていたのです。

また「技術情報管理 自己チェックリスト」の公開には、国が定めたチェックリストを活用することで、中小企業でも取引先からの信頼を獲得・維持できること、そしてそういった事業者が産業競争に参入できることを期待する目的もありました。

「技術情報管理 自己チェックリスト」の項目

チェックリストは、経営視点から技術情報の流出を防ぐための確認事項を把握するファーストステップと、実務の点からその具体的な対策について確認できるセカンドステップの2部構成になっています。

ファーストステップ

ファーストステップで大切なことは、「守るべき情報」を認識して取り扱いの方法を定め、組織内で共有することです。守るべき情報とは、自組織が競争力として大きく影響し、漏えいすることで取引先や顧客との信頼関係に大きなダメージを与える技術情報や他組織から預かった技術情報を指します。ファーストステップは主に基本的な確認事項となりますので、全ての項目を網羅する必要があります。

  1. 守るべき情報の特定
    経営の観点からどの情報を守るべきかを明確にする必要があります。
  2. 守るべき情報の種類と保管場所
    紙・電子・試作品かによって的確な保管場所を選びます。
  3. 守るべき情報の区別化
    目印をつけるなどして他と混合しないための工夫が大切です。
  4. 取引先から預かった守るべき情報の対策方法
    取引先・顧客に合わせた対策を相談する体制を整えておきます。
  5. 守るべき情報の管理者
    ルール作成や管理全般を業務とすることで、情報セキュリティに対する時間を確保できます。
  6. 組織内での守るべき情報の責任所在の共有
    責任者を定め、全社員に共有することで報告や相談など取り扱いが統括されます。
  7. 守るべき情報の作成から廃棄までの管理方法
    複製や廃棄についての手順も明確にしておきます。
  8. 組織内での情報セキュリティに対する教育
    社員に対しトレーニングの機会を設けることが最適です。
  9. 守るべき情報の流出・不正な取り扱いに対する報告先
    報告先が不明だと報告が遅れ、被害が拡大する可能性があります。
  10. 守るべき情報の流出・不正な取り扱いに対する対応
    あらかじめ対処についての社内体制が必要です。

参考:技術情報管理 自己チェックリスト 活用ガイド

セカンドステップ

セカンドステップで重要なのは、自組織が所有する守るべき情報に合わせて、適切な対策を実施することです。そのためには、自社にとって何が必要かを正しく見極めることが大切になります。

  1. 秘密保持契約の締結
    外部委託先などに守るべき情報を渡す場合は、第三者への開示の禁止を含め秘密保持契約を締結しましょう。
  2. 守るべき情報への接触制限
    誰が扱う権利があるのかを明確にしましょう。
  3. 守るべき情報の施錠保管
    施錠して保管し金庫などの保管容器に近づく者を確認できる環境を整えておきましょう。
  4. 守るべき情報の取り扱い場所
    取り扱ってよい場所を決め、それ以外への持ち出しを禁止しましょう。
  5. 守るべき情報の立ち入り制限
    入退室の制限・管理を行いましょう。
  6. 守るべき情報のセキュリティ対策
    他社で取り扱う場合は秘密保持契約を締結し、施錠・巡回監視などを依頼しましょう。
  7. 守るべき情報の持ち出し管理
    保管されたPCや記録媒体にはアクセス制限をかけましょう。
  8. 守るべき情報への閲覧制限
    特定の人以外が閲覧できないよう各人の閲覧可能な電子ファイルの範囲を設けましょう。
  9. 守るべき情報の保存先
    クラウドサービスに保存する際は信頼性の高い保存先を選びましょう。

参考:技術情報管理 自己チェックリスト 活用ガイド

技術情報管理認証制度の取得もおすすめ

技術情報管理認証制度は、国の認定を受けた機関による国が設けた基準に基づく制度です。前述した通り、「技術情報管理 自己チェックリスト」の公開には、中小企業の情報セキュリティ対策の向上を図る狙いもあります。その組織のレベルに合わせた認証を取得することができるのも、本制度の魅力です。国が主導する制度からの認証を得ることで、取引先や顧客など対外的にも信頼獲得に有効に働きます。

技術情報管理認証制度とは?

本制度は、自組織の情報セキュリティ対策について第三者機関から助言を受けられる、また対策が十分かどうかの審査が受けられるシステムです。審査するのは、国の認定を受けた情報管理に関する専門家です。審査基準も国が定めているので、認証を受ければ、国の基準を満たしていることの証明になります。

「成長型中小企業等研究開発支援事業」で加点が受けられる

「成長型中小企業等研究開発支援事業」、通称「Go-Tech事業」と呼ばれる支援事業は、ものづくりにおける技術やサービスの高度化を目指す中小企業などが、研究開発や事業化に向けた取り組みを大学や公設試験研究機関などと連携して行った場合、最大で3年間の支援を受けられる制度です。ものづくりを担う中小企業が、より高度な技術開発に乗り出すため、そして高付加価値製品の下請け製造という構造を脱却するための心強い支援制度と言えます。

「IT活用促進資金」を特別利率で受けられる

IT活用促進資金(企業活力強化貸付)とは、情報技術の普及に伴い、中小企業が情報技術活用の促進を図る際、日本政策金融公庫より特別利率で融資を受けられる制度です。具体的には、コンピュータやソフトウェアの購入費用、ネットワークの設備費用などが挙げられます。

中小企業においてセキュリティ対策は急務である

中小企業における情報セキュリティ対策は、今や早急に取り組むべき課題となっています。技術情報の漏えいだけでなく、システムエラーやウイルス感染など、対策を講じる必要のあるリスクは多数存在します。

中小企業が取り組むべき急務として、以下の2点を抑えておきましょう。

  • 社内におけるセキュリティ対策の見直し
  • MDMなどデバイス管理ツールやセキュリティツールの導入

社内におけるセキュリティ対策の見直し

業務上のインターネットや情報システムの利用は、情報システムのトラブルによる危険を伴います。例えば、情報システムの停止による情報の紛失や漏えいが起きれば取引先や顧客へと波及し、企業のイメージダウンにも繋がりかねません。まず大切なことは、組織内でセキュリティ対策を整えることです。つねに現状を見直し、アップデートすることが大切と言えます。

MDMなどデバイス管理ツールやセキュリティツールの導入

近年では、一人一台のモバイル端末を割り充てられることも多いでしょう。大量のモバイルを運用・管理するためには、MDMの活用が有効的です。MDMとはMobile Device Management(モバイルデバイス管理)の略で、スマートフォンやタブレットなどのデバイスを一元化して管理・運用するためのソフトウェアのことです。デバイスを管理者が効率的に管理できるだけでなく、遠隔操作で端末のロックや初期化、アプリケーションの制限などを行うこともできます。

その他、アプリやデータの管理に特化したMAM(モバイルアプリケーション管理)、画像や文書ファイルなどMCM(モバイルコンテンツ管理)など、組織内で必要に応じて検討・導入することをおすすめします。

現在多くの企業が利用しているMDMについて、以下の記事でより詳しく知ることができるので、参考にしてみてください。
関連記事:MDM(モバイルデバイス管理)とは?基本や導入時の注意点まで徹底解説

経営者は「サイバーセキュリティ経営ガイドライン」もチェックしよう

経営者にとって避けられないリスク対策として、サイバーセキュリティも課題のひとつです。「サイバーセキュリティ経営ガイドライン3.0」は、経済産業省が独立行政法人情報処理推進機構(IPA)とともに、経営者を対象に策定したガイドラインになります。

サイバー攻撃の脅威から自社を守るため、経営者が認識するべき「3原則」は以下のとおりです。

  • 経営者としてリスクマネジメントに対するリーダーシップを執ることの重要性
  • サプライチェーン全体にわたるサイバーセキュリティ対策へ目配りすることの重要性
  • 常日頃からの関係者との積極的なコミュニケーションを取ることの重要性

これらを意識的に確認することで、企業全体の危機管理意識を高めることにつながります。そのほか、セキュリティ対策を講じるために重な10項目などもまとめられているので、必ずチェックするようにしましょう。

まとめ

今日では、企業にとって技術情報の管理は軽視できない課題です。組織の規模に関わらず、情報漏えいの危険や情報システムのトラブル、サイバー攻撃などリスクは常に付きまといます。大切なことは、多くの情報や対策案をつねに更新し続けることです。組織で導入しているモバイル端末の取り扱いに関して、人力での管理が大変ということであれば、MDMの導入を検討してみると良いかもしれません。多くの導入企業から好評を得ている「mobiconnect for Business」の安心・安全なサービスで、効率的に組織を守る環境づくりを考えてみてはいかがでしょう。

MDM導入のご検討・
ご相談はこちら