前にセキュリティアクションについて書きました。

その時は取組の☆１つまででしたので今日は☆２つのお話を書きます。

☆２つも☆１つと同じように自己宣言です。

ですから、セキュリティアクションの☆２つの認証を取得しました、っていうと少し恥ずかしいことになります。あくまで☆２つの宣言をしました、という言い方になります。

その宣言ですが☆２つだからといって技術的に高度なセキュリティ対策が必要になるとか費用をかけた対策が必要になるわけではありません。

まず、☆１つの所でもお話ししたIPA（情報処理推進機構）のホームページの

SECURITY ACTION ロゴマークの使用申込方法 : SECURITY ACTION セキュリティ対策自己宣言

のところに行くと

「5分でできる！情報セキュリティ自社診断」というリンクがありますから、ここからｐｄｆのファイルをダウンロードして自己診断します。

内容は大きく３つで、個々の診断項目は合計で２５個になります。

１．基本的対策：OSやソフトは最新なものが使われているか、重要情報にはアクセス制限をしているかなど

２．従業員としての対策：添付ファイルなどからのウイルス感染に気を付けているか、

事務所のアクセス制限をしているかなど

３．会社としての対策：従業員への教育、セキュリティ事故が起こった時の体制が明確にされているかなど

これらをチェックしてまず自社の弱いところを見つます。ちなみに点数は自己宣言時にIPAに報告する必要はないので、今現在点数が低いからといって宣言するのを諦めるとか、そういう方向に考えるのはよしましょう。

そして弱みが分かったら次は対策です。先ほどと同じところに

「情報セキュリティ基本方針」

のファイルがありますので、自社の事情に合わせて情報セキュリティに対する基本方針を作成します。作成に際しては

中小企業の情報セキュリティ対策ガイドライン：IPA 独立行政法人 情報処理推進機構

の付録２にある情報セキュリティ基本方針（サンプル）を参考にすると良いでしょう。

このファイルも自己宣言時には提出の必要はありません。

但し、☆２つのマークの使用条件として、この情報セキュリティ基本方針を外部に公表することが定められています。従って背伸びする必要はありませんが、しっかり作成する必要があります。

そしてIPAの自己宣言のところから、会社名や担当者のメールアドレスなどの情報と共にIPAに送ります。その後１、２週間でIPAからメールが届きますのでその指示に従って自己宣言の完了手続きをします。

手続き的には難しいところはないと思います。問題は実際に情報セキュリティに対する意識づけをいかに継続的に高め維持していくかだと思います。事故があってからでは遅いので早めの動機付け、意識啓蒙を行いましょう