ICTイノベート

  • SECURITY ACTION制度の活用で信頼向上

  • SECURITY ACTION制度の活用で信頼向上

  • 公開2019/10/25  更新2023/05/05

  • SECURITY ACTIONは情報セキュリティ対策企業であることを自己宣言する制度です。活用すれば対外的な信頼向上に繋がります。

記事内容

先に公開したコラム記事にて、現代の商取引における情報セキュリティ対策の重要性について触れ、具体的手順として「中小企業の情報セキュリティ対策ガイドライン」をご紹介しました。

参考「中小企業の情報セキュリティ対策ガイドラインを活用」

そうして情報セキュリティ対策に取組んだならば、対外的にアピールして取引先からの信頼向上に繋げたいですよね。そんな時に「情報セキュリティ対策に取組み始めた段階」であっても利用し易い制度が「SECURITY ACTION(セキュリティアクション)」です。

SECURITY ACTION制度の概要

情報セキュリティにも ISO(International Organization for Standardization : 国際標準化機構)に代表されるマネジメントシステム規格が存在しますので、社会的信頼を得るために認証機関による認証を得る方法もあります。但し、それには多大な労力を要しますので情報セキュリティ対策に取組み始めた段階では敷居が高いことは否めません。

一方で、SECURITY ACTIONは中小企業自らが情報セキュリティ対策に取組むことを自己宣言する制度です。独立行政法人情報処理推進機構(以降「IPA」)が運用している制度ですが、IPAが情報セキュリティ対策状況等を認定するものではありません。

定められた取組み目標に向けて取組むことを自己宣言することで、SECURITY ACTIONロゴマークの使用を許可されますので、ロゴマークをポスター、パンフレット、名刺、封筒、会社案内、Webサイト等に表示して自らの取組みをアピールすることができます。

SECURITY ACTIONの申込みやロゴマーク使用に対して費用は掛かりません。また、情報セキュリティへの取組みを宣言している中小企業としてSECURITY ACTIONのWebサイトに掲載されます。

SECURITY ACTIONの取組み目標は二段階設定されており、取組み目標に応じて「★一つ星」と「★★二つ星」のロゴマークがあります。そして、それぞれの取組み目標で取組むべき作業が設定されています。

「★一つ星」に必要な作業

  • 情報セキュリティ5か条

「★★二つ星」に必要な作業

  • 5分でできる!情報セキュリティ自社診断
  • 情報セキュリティ基本方針(情報セキュリティポリシー)

制度を利用される企業様としましては、下図のような利用イメージとなるでしょう。SECURITY ACTIONは、情報セキュリティ対策をできるところから始めてステップアップしていくことが重要です。

SECURITY ACTION 制度利用の流れ
『SECURITY ACTION 制度利用の流れ』

制度の詳細内容や申し込み方法については、以下にリンクを張ったIPAのWebサイトをご覧になることをお勧めします。

「SECURITY ACTION セキュリティ対策自己宣言」
https://www.ipa.go.jp/security/security-action/index.html
(2023/5/5 引用)

SECURITY ACTIONの取組みに役立つガイドライン資料

SECURITY ACTIONの取組み目標に対して具体的に取組むにあたっては、「★一つ星」であっても「★★二つ星」であっても役に立つマニュアルがあります。そうです、「中小企業の情報セキュリティ対策ガイドライン」です。

設定された作業に対して、どのように取組めば良いのかを手引きしてくれます。また「情報セキュリティ基本方針」のような文書作成を行う際にも、用意された「サンプル」を利用すれば作成を大いに助けて貰えます。

取組み目標の達成にはガイドライン資料が役に立つ
『取組み目標の達成にはガイドライン資料が役に立つ』

このように取組み目標が明確になっていますので、取組んだ上でSECURITY ACTIONを宣言すれば「一定レベルの情報セキュリティ対策に取組んでいる企業である」と外部から見なして貰えます。

取引先からの評価指標となるSECURITY ACTION

SECURITY ACTIONを、取引先に情報セキュリティ対策に取組む姿勢を示す手段としてご紹介しましたが、一方では企業が取引先を評価する際の評価基準としてSECURITY ACTIONが利用されるケースもあるでしょう。

既に例として、SECURITY ACTIONが補助金の申請要件とされるケースが出てきています。経済産業省による「IT導入補助金」や、東京都中小企業振興公社による「サイバーセキュリティ対策促進助成金」といった具体例が挙げられます。

今後は補助金の申請要件に留まらず、業務委託先の情報セキュリティ対策を評価する際の指標としてSECURITY ACTIONが利用されるケースも増えてくるでしょう。SECURITY ACTIONを宣言していないと仕事を請けられないといったケースも今後は生じるかもしれません。

例え、SECURITY ACTIONへの対応を迫られたとしても難しく考える必要はありません。中小企業にとっても敷居が低い制度です。取組み目標に対しても「中小企業の情報セキュリティ対策ガイドライン」を上手く活用すれば対応できるでしょう。

繰り返しになりますが、現代の商取引において情報セキュリティ対策は重要な要素です。無策で放置していては取引に支障が生じ兼ねません。

これまで情報セキュリティ対策に部分的に取組まれていた企業様であっても、それだけでは取引先からの信頼を得ることはできません。組織的な取組みを行った上で取引先に伝わる形で示さなければなりません。

そんな時には、できるところから始める情報セキュリティ対策である「SECURITY ACTION」を有効活用しては如何でしょうか。

この記事のまとめ

  • SECURITY ACTIONは中小企業が情報セキュリティ対策に取組むことを自己宣言する制度
  • SECURITY ACTIONの宣言には「中小企業の情報セキュリティ対策ガイドライン」が役立つ
  • 情報セキュリティ対策に取組む姿勢を取引先に示すのにSECURITY ACTIONは役立つ