【日本】経産省、サイバーセキュリティ経営ガイドライン改訂。サプライチェーン視点も強化

　経済産業省は3月24日「サイバーセキュリティ経営ガイドライン」を約6年ぶりに改訂し、第3版を発行した。サイバー攻撃は多様化・巧妙化しいる実態を踏まえ、強化した。

【参考】【日本】経産省、「サイバーセキュリティ経営ガイドラインver. 2.0」発行。ESG課題としても注目（2017年11月27日）

　今回の改訂では、経営者が認識すべき3原則そのものを修正。取引関係にとどまらず、国内外のサプライチェーンでつながる関係者へのセキュリティ対策への目配り、総合的なセキュリティ対策の重要性や社外のみならず、社内関係者とも積極的にコミュニケーションをとることの必要性等の追加・修正を行った。

経営者が認識すべき3原則（Ver.3.0）

• 経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
• サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
• 平時及び緊急時のいずれにおいても、サイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

経営者が認識すべき3原則（Ver.2.0）

• 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
• 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
• 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

　またサイバーセキュリティ経営の重要10項目についても、サイバーセキュリティリスクの識別やリスクの変化に対応した見直しやクラウド等最新技術とその留意点や、サプライチェーンリスクへの対応に関しての役割・責任の明確化、対策導入支援などサプライチェーン全体での方策の実行性を高めること等について、追記・修正を行った。

　特に、系列企業やサプライチェーンのビジネスパートナーやシステム管理の委託先等が、情報処理推進機構が定める中小企業を対象とした「SECURITY ACTION」を宣言していることを確認することを推奨した。また、ISMS等のセキュリティマネジメント認証を取得していることも効果的とした。

【参照ページ】「サイバーセキュリティ経営ガイドライン」を改訂しました

株式会社ニューラル サステナビリティ研究所