一般社団法人 日本経済団体連合会(経団連)は12月6日、「サイバーセキュリティ経営ガイドライン Ver3.0(案)」に対する意見を発表した。同ガイドラインは、ITの利活用が不可欠な大企業及び小規模事業者を除く中小企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するために策定したもの。
経済産業省が10月26日に公開したガイドライン案では、2017年の前回改訂以降の環境の変化に対応したもので、テレワークなど働き方の多様化や、サイバー空間とフィジカル空間の緊密化、サイバーセキュリティ対象の拡大、ランサムウェアによる被害、サプライチェーンリスク、ESG対応などが加味されている。
経団連はガイドライン案に対し、2022年10月11日に改定された「経団連サイバーセキュリティ経営宣言 2.0」と軌を一にする内容で、おおむね賛同できるとした上で、次の4つの点について意見を提案している。
1:グローバルな視点の追加
全編を通じて、「国境を越えたサイバーセキュリティリスク・対策」といった観点がやや希薄。取引先や海外子会社等のサプライチェーンを経由したサイバー攻撃が増加傾向にある中で、サプライチェーン全体を俯瞰したサイバーセキュリティ対策の強化において、グローバルな視点を盛り込むことが不可欠。
2:多様な経営リスクにおける位置づけの敷衍
「経営者が認識すべき3原則」の一つとして、サイバーセキュリティリスクを経営リスクの一つとして位置づけるとあるが、より具体的に踏み込んだ内容とする必要がある。例えば、同列に扱うべき他の経営リスク、リスクと判断する粒度、対策推進の際に経営者が判断すべきことを挙げた。
また、踏み込んだ記載をした上で、別途「手順・ツール」で具体的なツールを提示することによって、経営ガイドラインの実効性が高まるとした。
3:「事業継続」に関する記述の追加
事業サイドと情報システム・セキュリティ担当者の日常のコミュニケーションが重要という認識を踏まえ、「経営者が認識すべき3原則」の(3)の記述に「事業継続」という言葉を追記すべきとした。
4:「サイバー保険」に関する記述の追加
指示4および指示9にサイバー保険の活用を推奨する記載があるが、サイバー保険のカバー範囲が必ずしも被害の全体でないこと、国家レベルの攻撃の場合は戦争扱いとなり、被害に対する補償が支払われない可能性があることを注記する必要があるとした。
