セキュリティポリシー

セキュリティポリシーは、情報セキュリティ基本方針のことです。昨年以降、プライバシーポリシーに加えて、セキュリティポリシーを策定する企業が増えています。本日は、セキュリティポリシーについて、考えてみます。

現代の企業活動においては、「情報をどう使うか（プライバシー）」と「情報をどう守るか（セキュリティ）」の両方を明示することが、信頼性・透明性に繋がります。それゆえプライバシーポリシーに加えて、セキュリティポリシーの整備が必要と言われています。

ランサムウエア、フィッシングなどのサイバー攻撃が高度化・多様化し、個人情報保護法の改定やサイバーセキュリティ経営ガイドラインが明示され、取引先や顧客からの信頼確保の益々必要となってきたこと等が、その背景にあります。

プライバシーポリシーは個人情報の取扱方針を明示しており、対象は主に「個人情報」であり、その内容は情報の利用目的、第三者提供、開示請求方法などについて、自社の方針を定めたものです。

一方、セキュリティポリシーは情報資産を守るためのルールを明示しており、対象は社内外の「情報全般」であり、その内容はアクセス管理、ウイルス対策、教育・訓練体制などについて、自社の方針を定めたものです。

保険代理店を営む企業であれば、以下の7項目につき、情報をどう守るかを簡単に説明すれば足ります。
１．情報資産を適切に保護・管理する
２．法令・規範・ガイドラインを遵守する
３．従業員の教育と守る意識を向上させる
４．技術的な対策を実施する
５．委託先の管理を適切に行う
６．非常時の対応を的確・誠実に行う
７．情報セキュリティ管理体制を定期的に見直し改善させる

多くの保険代理店さんは、セキュリティポリシーを作成することに多くの時間を費やそうとしますが、その内容を詳細に語るより、短い文で簡潔、的確に宣言することが、求められています。

大切なことは、セキュリティポリシーで宣言した情報を守る取組みが、プライバシーポリシーや社内規定・ルールとの間に齟齬が生じていないかを確認することです。そのうえで、情報の取扱方針のもと、情報を守る取組みを明示し、それを社内ルールとして整備・実施し、定期的に見直しを行い、改善する取組みを継続することが求められています。

保険会社のご担当者の中には「代理店手数料ポイントの項目の一つだから、作成した方が良いですよ」などと、趣旨、目的、背景を説明しないで、実利に走った指導・啓蒙を行う方もいるようです。本日は、あらためて整理してご説明致しました。