サイバーセキュリティ経営ガイドラインVer3.0を公表、経営者必須の原則や実施事項を改訂

2023年8月25日

サイバーリスクマネジメント

経済産業省は「サイバーセキュリティ経営ガイドラインVer. 3.0」を公表しました。2017年のVer. 2.0以来の改訂です。2015年の初版では、「サイバーセキュリティリスクは経営問題」と明示し、その後、「経営者は、サイバーセキュリティリスクを認識」と語調と強めたVer. 2.0に加えて、Ver3.0では「サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題」として、経営者にリスク認識のいっそうの引き上げを求める表現になりました。

サイバーセキュリティ経営ガイドラインVer. 3.0

本ガイドラインは、経済産業省と独立行政法人情報処理推進機構(IPA)が企業の経営者を対象に、経営者の主導のもとで組織的なサイバーセキュリティ対策を実践するための指針として策定しています。

本ガイドラインは、「経営者が認識すべき3原則」と、経営者がCISO(最高情報セキュリティ責任者)などに指示し、確実に実施させる「サイバーセキュリティ経営の重要10項目」の基本的な構成は維持しています。その上で、経営者による最新のサイバーセキュリティを取り巻く環境への認識と対策の実践を支援するため、有識者からの意見やパブリックコメントにおける意見等を踏まえ、主に以下の内容で改訂されています。

また、本ガイドラインは本冊と6つの付録で構成され、付録はA,B,D,Eがそれぞれ次のように改訂されました。付録は今後も改訂の必要性に応じて適宜更新される予定です。

企業のサイバーセキュリティ対策は、サイバー攻撃から自社の IT システムやそこで扱われる情報資産の保護を主たる目的として議論されてきましたが、企業活動の多くをデジタル環境に依存する現在、会社法の求める内部統制システムの構築や必要な体制の整備、コーポレートガバナンス・コードに基づく開示と対話等においてサイバーセキュリティに関するリスクを考慮しなければ実態に即したものにはならず、サイバーセキュリティを包含するエンタープライズリスクマネジメントの実践が求められています。本ガイドラインの改訂では、ステークホルダーとの対話が重要視され、有価証券報告書やESG報告書を通じたサイバーリスク対策への情報開示が必要と考えられます。

【参考情報】

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2023年5月(第2号)を基に作成したものです。