サイバーセキュリティ経営ガイドラインVer3.0とは|最新の改訂ポイントを解説

公開日:2023年8月25日

サイバーリスク

経済産業省は「サイバーセキュリティ経営ガイドラインVer. 3.0」を公表しました。2017年のVer. 2.0以来の改訂です。2015年の初版では、「サイバーセキュリティリスクは経営問題」と明示し、その後、「経営者は、サイバーセキュリティリスクを認識」と語調と強めたVer. 2.0に加えて、Ver3.0では「サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題」として、経営者にリスク認識のいっそうの引き上げを求める表現になりました。

サイバーセキュリティ経営ガイドラインVer. 3.0

本ガイドラインは、経済産業省と独立行政法人情報処理推進機構(IPA)が企業の経営者を対象に、経営者の主導のもとで組織的なサイバーセキュリティ対策を実践するための指針として策定しています。

本ガイドラインは、「経営者が認識すべき3原則」と、経営者がCISO(最高情報セキュリティ責任者)などに指示し、確実に実施させる「サイバーセキュリティ経営の重要10項目」の基本的な構成は維持しています。その上で、経営者による最新のサイバーセキュリティを取り巻く環境への認識と対策の実践を支援するため、有識者からの意見やパブリックコメントにおける意見等を踏まえ、主に以下の内容で改訂されています。

また、本ガイドラインは本冊と6つの付録で構成され、付録はA,B,D,Eがそれぞれ次のように改訂されました。付録は今後も改訂の必要性に応じて適宜更新される予定です。

企業のサイバーセキュリティ対策は、サイバー攻撃から自社の IT システムやそこで扱われる情報資産の保護を主たる目的として議論されてきましたが、企業活動の多くをデジタル環境に依存する現在、会社法の求める内部統制システムの構築や必要な体制の整備、コーポレートガバナンス・コードに基づく開示と対話等においてサイバーセキュリティに関するリスクを考慮しなければ実態に即したものにはならず、サイバーセキュリティを包含するエンタープライズリスクマネジメントの実践が求められています。本ガイドラインの改訂では、ステークホルダーとの対話が重要視され、有価証券報告書やESG報告書を通じたサイバーリスク対策への情報開示が必要と考えられます。

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2023年5月(第2号)を基に作成したものです。

関連記事

DDoS攻撃とは?攻撃の種類や有効な対策を解説

2025年1月15日

サイバーリスク

ランサムウェア被害、規模や業種にかかわらずターゲットに 警察庁

2025年1月10日

サイバーリスク

Emotet(エモテット)とは?感染のリスクと対策を解説

2025年1月6日

サイバーリスク

EDRとは?EPPとの違いや注目される理由を解説

2024年12月23日

サイバーリスク

政府が、サプライチェーンのセキュリティ強靭性向上で対策評価新制度の検討開始

2024年11月6日

サイバーリスク

おすすめ記事

労災とは?労災と判断されるポイントと発生時の対応を解説

2025年1月20日

人事労務・働き方改革

DDoS攻撃とは?攻撃の種類や有効な対策を解説

2025年1月15日

サイバーリスク

Emotet(エモテット)とは?感染のリスクと対策を解説

2025年1月6日

サイバーリスク

EDRとは?EPPとの違いや注目される理由を解説

2024年12月23日

サイバーリスク

安全配慮義務違反とは?具体的な事例と防ぐための取組を解説

2024年12月16日

事故防止

週間ランキング

休職中の社員の社会保険料負担

2023年7月28日

人事労務・働き方改革

「個人から法人への非上場株式の譲渡における注意点」

2024年11月22日

その他

帝国データバンク公表「社長の平均年齢、60.5歳 33年連続の上昇、高齢化止まらず」

2024年4月26日

事業承継・M&A

「令和6年度介護報酬改定」におけるBCP未策定事業者に対する基本報酬減算措置と経過措置について

2024年6月14日

自然災害・事業継続

南海トラフ地震臨時情報発出時の企業対応について

2023年6月1日

自然災害・事業継続