東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

19-2-6. 第6章. サイバーセキュリティ戦略および関連法令

  • 6-1. NISC:サイバーセキュリティ戦略
  • 6-2. 関連法令

章の目的

第6章は、NISCの「サイバーセキュリティ戦略」を通じて、DXとサイバーセキュリティの確保を同時に推進する重要性について理解することを目的とします。また、サイバーセキュリティに関連する法令として、個人情報保護法とGDPRについて説明しています。

主な達成目標

  • 日本におけるサイバーセキュリティに関する方針や施策について理解すること
  • サイバーセキュリティに関する知識やスキルを身につける必要性について理解すること
  • 個人情報関連の法令を理解すること

主なキーワード

サイバーセキュリティ戦略、DX with Cybersecurity、個人情報保護

要旨

6章の全体概要

サイバーセキュリティについては、NISCの「サイバーセキュリティ戦略」を紹介するとともに、DX with Cybersecurityの考え方について解説しています。デジタルの活用が進むとともに、サイバーセキュリティのリスクも高まっています。企業は自社のIT活用状況を認識しつつ、必要な知識・スキルを身につけた人材を育成・確保するとともに、適切なサイバーセキュリティ対策を実施することが重要です。

6-1. NISC:サイバーセキュリティ戦略

  • サイバーセキュリティ戦略
    国家レベルでサイバーセキュリティの確保に取組むための基本的な方針や目標を定めた「サイバーセキュリティ戦略」について全体概要と、中小企業に関連する内容について説明しています。
  • 企業経営のためのサイバーセキュリティの考え方
    サイバーセキュリティ対策を行うにあたって、基本的認識や留意事項を理解し、自社の現状のIT活用状況や、セキュリティ対策の取組みレベルに応じた対策を行うことが大切です。
  • DX with Cybersecurity
    DXとサイバーセキュリティ確保に向けた取組みを同時に推進すること(DX with Cybersecurity)が不可欠になっています。中小企業がDX with Cybersecurityを推進するにあたり、人材やスキル不足などさまざまな課題が存在しています。これらの課題に対する対策として、「デジタルスキル標準(DSS)」、「プラス・セキュリティ」について説明しています。
  • デジタルスキル標準(DSS)
    デジタルスキル標準(DSS)では、すべてのビジネスパーソンがDXに関する基礎的な知識、スキル、マインドセットを身につけるための学習指針を「DXリテラシー標準」として策定しています。社員に対して、DXに関するリテラシーを身につけさせるための育成方法を検討する際に、指針として活用することができます。
  • プラス・セキュリティ
    プラス・セキュリティとは、「自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身につけること、あるいは身につけている状態のこと」です。
    サイバーセキュリティ体制を適切に機能させるため、経営者は、デジタル部門、事業部門、管理部門などの従業員にサイバーセキュリティに対する意識を高め、業務遂行に必要なセキュリティ対策を実施できる能力を身につけさせるよう育成することが大切です。具体的には、自社で実施しなければならないサイバーセキュリティ関連タスクの一部を担っていること、およびその責任・権限を組織として明確化し、担当者に自覚させることが重要です。

6-2. 関連法令

  • 個人情報保護法
    消費者や取引先から預かっている個人情報を適切に取扱うことは、企業の権利や利益を守ることに繋がる非常に重要な取組みとなります。
  • GDPR(EU一般データ保護規則)
    GDPRとは、個人データの保護とプライバシーの権利を強化するために、欧州連合(EU)加盟国に適用される重要な法令です。EUで活動する企業だけではなく、EU加盟国の居住者の個人データを取扱う企業は、企業規模に関係なく、GDPRが適用されるため、GDPRを理解し遵守することが必要になります。
訴求ポイント

章を通した気づき・学び

日本政府が打ち出しているサイバーセキュリティ戦略を理解し、関連する知識やスキルを身につけることが大切です。

認識していただきたい実施概要

  • サイバーセキュリティ戦略によって、国家レベルでのサイバーセキュリティの確保に取組む方針や目標が定められていることを理解すること。
  • サイバーセキュリティ対策にかかる支出をやむを得ない費用とするのではなく、経営のために必要な投資と位置付け、自発的にサイバーセキュリティ対策に取組むことが重要であること。
  • DXの推進と並行してサイバーセキュリティへの対策が求められている状況の中、必ずしもITやセキュリティに関する専門知識や業務経験を有していない者も、自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力(プラス・セキュリティ)を身につけることが重要であること。
  • サイバーセキュリティに関連する法令として個人情報保護法やGDPRがあり、個人情報はレベルの高い情報として取扱うべきであること。