19-2-6. 第6章. サイバーセキュリティ戦略および関連法令

• 6-1. NISC：サイバーセキュリティ戦略
• 6-2. 関連法令

主なキーワード

サイバーセキュリティ戦略、DX with Cybersecurity、個人情報保護

要旨

6-1. NISC：サイバーセキュリティ戦略

• サイバーセキュリティ戦略
  国家レベルでサイバーセキュリティの確保に取組むための基本的な方針や目標を定めた「サイバーセキュリティ戦略」について全体概要と、中小企業に関連する内容について説明しています。
• 企業経営のためのサイバーセキュリティの考え方
  サイバーセキュリティ対策を行うにあたって、基本的認識や留意事項を理解し、自社の現状のIT活用状況や、セキュリティ対策の取組レベルに応じた対策を行うことが大切です。
• DX with Cybersecurity
  DXとサイバーセキュリティ確保に向けた取組を同時に推進すること（DX with Cybersecurity）が不可欠になっています。中小企業がDX with Cybersecurityを推進するにあたり、人材やスキル不足などさまざまな課題が存在しています。これらの課題に対する対策として、「デジタルスキル標準（DSS）」、「プラス・セキュリティ」について説明しています。
• デジタルスキル標準（DSS）
  デジタルスキル標準（DSS）では、すべてのビジネスパーソンがDXに関する基礎的な知識、スキル、マインドセットを身につけるための学習指針を「DXリテラシー標準」として策定しています。社員に対して、DXに関するリテラシーを身につけさせるための育成方法を検討する際に、指針として活用することができます。
• プラス・セキュリティ
  プラス・セキュリティとは、「自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身につけること、あるいは身につけている状態のこと」です。
  サイバーセキュリティ体制を適切に機能させるため、経営者は、デジタル部門、事業部門、管理部門などの従業員にサイバーセキュリティに対する意識を高め、業務遂行に必要なセキュリティ対策を実施できる能力を身につけさせるよう育成することが大切です。具体的には、自社で実施しなければならないサイバーセキュリティ関連タスクの一部を担っていること、およびその責任・権限を組織として明確化し、担当者に自覚させることが重要です。

6-2. 関連法令

• 個人情報保護法
  消費者や取引先から預かっている個人情報を適切に取扱うことは、企業の権利や利益を守ることに繋がる非常に重要な取組となります。
• GDPR（EU一般データ保護規則）
  GDPRとは、個人データの保護とプライバシーの権利を強化するために、欧州連合（EU）加盟国に適用される重要な法令です。EUで活動する企業だけではなく、EU加盟国の居住者の個人データを取扱う企業は、企業規模に関係なく、GDPRが適用されるため、GDPRを理解し遵守することが必要になります。

訴求ポイント

認識していただきたい実施概要

• サイバーセキュリティ戦略によって、国家レベルでのサイバーセキュリティの確保に取組む方針や目標が定められていることを理解すること。
• サイバーセキュリティ対策にかかる支出をやむを得ない費用とするのではなく、経営のために必要な投資と位置付け、自発的にサイバーセキュリティ対策に取組むことが重要であること。
• DXの推進と並行してサイバーセキュリティへの対策が求められている状況の中、必ずしもITやセキュリティに関する専門知識や業務経験を有していない者も、自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力（プラス・セキュリティ）を身につけることが重要であること。
• サイバーセキュリティに関連する法令として個人情報保護法やGDPRがあり、個人情報はレベルの高い情報として取扱うべきであること。