少し空いてしまいました。

さて、今回は「マイナンバー」カテゴリとはちょっと違うんですが、
昨年末にこっそり出ていたガイドラインについて。

「サイバーセキュリティ経営ガイドライン」

これが昨年の12月28日にひっそりと公開されました。

これは昨年より施行されたサイバーセキュリティ基本法の一角を為すものです。
これも、つい最近までのマイナンバー同様、あまり知られてませんが、
この法の施行により、省庁を横断する形でNISC（内閣府情報セキュリティセンター）が
サイバーセキュリティ事故調査に入れるようになり、
年金機構の事件が判明したという経緯もあります。

んで、この法律の第７条にこんなのがあります。

　『サイバー関連事業者（インターネットその他の高度情報通信ネットワークの整備、
　　情報通信技術の活用又はサイバーセキュリティに関する事業を行う者をいう。以下同じ。）
　　その他の事業者は、基本理念にのっとり、その事業活動に関し、自主的かつ積極的に
　　サイバーセキュリティの確保に努めるとともに、国又は地方公共団体が実施する
　　サイバーセキュリティに関する施策に協力するよう努めるものとする。』

ということで、経営の責任として、セキュリティ対策に取り組まなきゃいけないので
ガイドラインが出たのですね。

これ、年内に纏めるためのやっつけ仕事のようで
まだまだ粗削りですが、マイナンバー対策も含めて、参考にはなります。

つか、資料にISO27001との項目比較がありまして
参考にした、と宣言してるようなものですが。（笑）

そもそも、自治体のマイナンバー制度のセキュリティ対策は
ISO27001を基本にするよう、地方公共団体システム機構から
指導が出ております。

それに伴い、民間企業の経営者も、同じようにセキュリティ対策とれ
ということですね。

ですけどねぇ。

マイナンバー制度始めるなら、本当はこっちを先にやって、
経営者のセキュリティ認識がある程度定着してからでしょう。

それでも情報セキュリティは経営問題であり、
経営者の責務であると表明しただけでも進歩かな。。。