最近になって、いわゆる士業の方から情報セキュリティ対策(特に個人情報管理)の相談を受けることが多くなってきました。世間の情報セキュリティに関する考え方の変化があり、クライアントから確認を取られる事が増えてきているそうです。
そして、業務に利用する端末も据え置き型のデスクトップPCだけではなく、モバイルPCやタブレット・スマートフォンなど複数台で情報を共有していたり、新型コロナウイルス対応としてのテレワークや、外部人材を利用する際の情報の持ち出しなど、実に様々な業務シーンが発生しているので、この辺で一定のルールを決めて管理していけるようにしておきたいと考えておられるようです。
士業として必要な情報セキュリティ対策
士業、つまり何らかの専門家である訳ですから、やはりお客様から信頼されるということは、とても大切なことです。信頼を守るためにどのような手順で、情報セキュリティ対策をしておけば良いのでしょうか?
①基準を設定する
まずは、世間や業界標準、競合と比べてどれくらい情報セキュリティ対策を重視したいかというような基本的方針を決定します。
②現状の把握
実施している情報セキュリティ対策やルール、それらの順守状況など現在の実態を把握します。
③守るべき情報の把握
現在保有している重要な個人情報などの守るべき情報が、どのような形で保存されているのか、これから将来に向かってどのような形式の情報を保有しようとしているのかなど、情報セキュリティ対策で守るべき情報を見える化します。
④情報を守るための具体的な対策
守るべき情報が決まったら、関係する人や業務プロセス、利用する端末やソフトウェア・サービスなどを含めて、基準に沿った情報セキュリティ対策ができるように、各端末、サービス等の設定や利用環境などのルールを新たに決めていき、それらを規定としてまとめていきます。
⑤ルールを共有して実行
基本方針に沿って新たに策定されたルールを共有し、ルールに従って業務を実施していけるよう関係者への動機付けを行います。
適切な情報セキュリティ対策を継続していくために
情報セキュリティ対策は外部環境の変化や、新しいソフトウェアの導入、事務所や社員移動など、これらの変化に対応できるよう日々メンテナンスしていく事がとても大切です。
新たな脅威情報に迅速に対応し、セキュリティへの懸念で臆することなく、事業に有益な新しい技術やサービスを効果的に活用していける体制を構築しておきましょう。
