中小企業がやるべき3つのセキュリティ対策の視点

3月8日に独立行政法人情報処理推進機構（IPA）から中小企業の情報セキュリティに
関する実態調査の報告書が公開されています。
「中小企業の20歳以上の経営者・IT担当者・従業員を対象に、対策状況についてウェブアンケートを実施」とあるので、ウェブアンケートに回答するリテラシーのあるレベルの企業の対策の様子を知ることができます。

「2015年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について：IPA 独立行政法人 情報処理推進機構（https://warp.ndl.go.jp/info:ndljp/pid/11376004/www.ipa.go.jp/security/fy27/reports/sme/index.html）

調査報告書のP38に「Q5_1 自社の顧客の個人情報の件数」が集計されているのですが、
平均で15万件以上もあるということが目につきました。
普段から私は「社長と営業担当が謝りに行って済む程度の問題だったらセキュリティ対策をしなくていい（そこそこやってればOK）」と言っています。
しかし、自社で保有している情報が10万件を超えてくるようだと、とても「謝って済む問題」の範囲を超えていて、しっかりとセキュリティ対策を考えてもらいたいところです。

現実的に中小企業には大企業ほど対策を実施する体力もありません。
そこで中小企業の方は情報セキュリティを考える視点として以下の3点を意識してほしいと思っています。

1. 会社の口座を守る
   （不正送金被害に遭わないようにする。）
2. 会社の事業を守る
   （事業継続できる程度の対策は必須。データバックアップや二重化など。）
3. 取引を守る
   （主要取引先から契約を切られるリスクを避ける。従業員のファイル交換ソフトの
   使用禁止など。）

会社のホームページが改ざんされても、マルウェアにやられたとしても、会社の口座にお金があって、事業が運営できていて、取引が残っていれば、復活することはできます。
サイバー空間にいる以上は社会的責任も求められるところはありますが、体力が少ない中小企業はまず会社を存続させるためのセキュリティ対策を、経営者主導で頑張ってほしいと願います。