筆者:防衛基盤整備協会 六畑 方之
約2年前に「知っていますか!日本独自の「情報管理の認証制度」」というタイトルで、「技術情報管理認証制度」について紹介しました。詳細はバックナンバーに譲るとして、「技術情報管理認証制度」とは、事業者の情報管理の信頼性に国がお墨付きを出してくれる、中小企業を対象として想定した制度です。
NIS-Beは、主に米国のNIST SP 800-171への対応を必要とする企業や、当該文書の更新動向等を把握する必要のある企業に向けた情報発信を行うサービスです。併せて、防衛省の情報セキュリティ関連の情報を提供しています。したがって、この認証制度は当会会員の皆様には直接関係はないかもしれません。このコラムは我が国のサプライチェーンがよりセキュアになる一助になればと、皆様の取引先で次のような条件に該当する企業があれば、この制度を紹介していただければという期待も込めて書いています。
- 米国のNIST SP800-171への適合を求められていない企業
- 防衛省と情報セキュリティ特約を付された契約を締結していない(予定なし)企業
- ISMS認証を取得したいが、経費的にも、人材的にも取得に踏み出せない企業
※ 一般的には、ISMS認証取得にかかる費用は100万円程度からそれ以上、本制度の認証の費用は30~50万円程度と言われています。
上のうち、特に③に該当する企業にお勧めです。
本稿ではこの制度の概要について簡単に振り返った後、制度がスタートして間もなく5年を迎えるに当たっての、最近の取り組みについて紹介します。
「技術情報管理認証制度」は、産業競争力強化法(平成25年法律第98号)を改正し、事業者が保有する技術等の情報(技術及びこれに関する研究開発の成果、生産方法その他の事業活動に有用な情報)が国で示した「守り方」に即して守られているかどうかについて、国の認定を受けた機関による認証を受けられる制度として平成30年(2018年)にスタートしました。
この制度の特色は、①国が定めた情報漏えいを防止するための必要な措置(守り方)に関する基準に基づく認証であること、②認証の取得の主な対象として中小企業を想定していること及び③事業者の実情・レベルに合った情報管理についての認証を受けることができることです。
「技術情報管理認証制度」の認証を受けた企業は、日本経済新聞によれば令和4年4月の時点で32社であり、その後もあまり多くは増加していないようです。サイトへの掲載に同意した事業者のみ掲載との条件付ながら、経済産業省の本制度のサイトに掲載されている認証取得事業者は35事業者(8月20日現在)です。
経済産業省では、本制度の認知度を高めることを地道に行いつつ、毎年有識者による検討会を実施して認証の魅力化を図ることで認証取得事業者にとって有益な制度とし、認証を取得する企業がより多くなるよう改善を図っています。その中の主なものを紹介します。
第一は、認証制度をシンプル化したことです。令和4年7月に、認証の制度を規定した「技術等情報漏えい防止措置認証業務の実施の方法」を2つの点で改正しました。
従来の規定では、自己チェックシートのみの自己宣言方式による認証(所謂「シルバー認証」)と、自己チェックシートを提出した上で文書審査~現地審査の手順を踏む方式による認証(所謂「ゴールド認証」)の2つがありました。シルバー認証は、できるだけ認証取得希望者に負担なく軽易に認証を取得してもらい、制度の普及を図る狙いがあったものの、「自己宣言方式が果たして「認証」と言えるのか」等の意見もあり、自己宣言方式による認証を廃止しました。
もう1つは、認証の有効期間を3年間に統一した上で、曖昧であった「認証と次回認証の中間で行う所謂サーベイランス認証に類するもの」について、その実施の有無を含めて認証機関任せであったものを、1年ごとに報告書を認証機関に提出する仕組みにしました。このことにより、認証の品質の斉一化が図られるようになりました。
第二に、「見える化」を考慮した自己診断用のチェックリストを作成したことです。
「技術情報管理自己チェックリスト」は、技術情報管理認証制度の基準を基に作成され、事業者が自社の情報セキュリティ対策の状況を自ら確認し、必要な対策を把握するためのツールです。このチェックリストは、以下のような事業者が活用することを想定しています。
- これまで情報セキュリティ対策に取り組んだ経験がない事業者などが、対策を始めるに当たって最初の取組としてやるべきことを把握する場合
- これまで独自の情報セキュリティ対策に取り組んできた事業者などが、これまでの取組を振り返り、不足が無いかを確認する場合
認証取得前の準備段階として、活用することをお勧めします。
このチェックリストは、2つのステップ、19のチェック項目で構成されています。
ファーストステップとして経営の視点からの基礎的な確認事項として10個のチェック項目、及びセカンドステップとして実務の視点からの具体的な対策としての9個のチェック項目があります。チェックリストの計19項目に回答すると、下の図のように点数及び各観点での評価点がレーダーチャートとして表示され、自社の情報セキュリティの現状を「見える化」して確認することができます。
第三は、認証取得に対しインセンティブを与えることです。
経済産業省が主管する今年度事業のうち、「ものづくり・商業・サービス生産性向上促進補助金事業」においては、技術情報管理認証制度の認証を取得している事業者には加点されることが公募要領に記載されています。
「成長型中小企業等研究開発支援事業」においては、技術情報管理認証制度による認証の取得を推奨することのみならず、認証取得費用を当該支援事業における補助対象の経費として計上できるとともに、認証を取得している機関は、技術等情報の管理についての実施状況の申告を免除することに加え、「技術情報管理認証制度により認証を受けている場合は、審査の際に一定の配慮を行います。」と謳われています。
そのほか、認証取得事業者は、日本政策金融公庫が実施する中小企業向けのIT関連設備等の導入資金や長期運転資金の融資(IT活用促進資金)を特別利率で受けられます。
このように経済産業省においては、経済安全保障の観点からも、我が国の主に中小企業が保有する重要な技術等の情報が流出することを防止するため、魅力的かつ、より実効性の高い情報管理の制度になるよう見直しをしています。
関心のある方、及び取引先等の特に中小企業で「自社の情報管理について対外的にアピールしたい。」という企業があれば、経済産業省HP(技術情報管理認証制度(METI/経済産業省))の一見をお勧めします。