[®研究論文] 例外措置を活用した情報セキュリティポリシーの柔軟な運用に関する提案

～中小企業に着目して～

抄録

情報セキュリティマネジメント体制の確立は、官公庁や大企業だけでなく中小企業においても必須の課題である。サイバー攻撃など情報セキュリティに関わるリスクへの対応等のため、各企業では情報セキュリティポリシー（以下、ポリシー）を策定し、ポリシーに則った原則規定に従って日常業務を管理・運用してきている。

昨今、社会情勢や技術革新に伴い、時々刻々と変化するリスクや新規デバイスに対応していくなか、原則規定やそれに関わる管理基準・運用手順に基づいた措置も、迅速かつ柔軟に変更していく対応が求められている。しかしながら予め原則規定にはない措置への一律的な管理策はなく、逸脱した措置への解釈・対応には日常業務へのリスクが存在すると考える。

本稿では、ポリシーに例外措置を策定することで、原則規定からの逸脱によるリスク回避や、ポリシー維持につながることを紹介し、さらには、比較的企業規模が小さい企業にとって、例外措置を活用することが、ポリシーを経営戦略に柔軟に適合させ、新たなビジネスチャンスにつなげていく効果が期待できることを述べる。