サイバーセキュリティ対策推進議員連盟(会長:野田聖子代議士)を開催し、提言を取りまとめました。
全文は以下の通りです。
サイバーセキュリティ対策推進議員連盟
提言
令和3年5月
本年に入り、大手SNS利用者の個人情報の一部が国外の委託先からアクセス可能となっていることが明らかになったことを契機として、個人情報の漏えいのリスクに対する国民の懸念が高まったほか、米国の石油移送インフラがサイバー攻撃を受けて操業停止に追い込まれるなど、日常生活への影響が懸念されるサイバーインシデントは後を絶たない状況であり、サイバーセキュリティ対策の強化は一層の急務となっている。このような社会情勢に適切に対応すべく、官民挙げて取り組むべき喫緊の課題について以下提言する。
1.DX with Cybersecurity
経済産業省は、デジタル社会において経営者に求められる対応を『デジタルガバナンス・コード』として整理し公表した。また、経済産業省と東京証券取引所が共同で選定する『DX銘柄』においては、サイバーセキュリティ対策も評価項目として位置づけられている。これらの取組により、サイバーセキュリティ対策が企業価値向上に不可欠との理解が経営層に共有されることが期待される。また、製品の設計段階からセキュリティ対策を講じる「セキュリティ・バイ・デザイン」の考え方は、事業コストを大幅に減らし収益を向上させ得るものであり、このような考え方を現場に行き渡らせることも極めて重要である。経営層から現場まで包括的な意識改革を進めるためにも、政府においては、「DX with Cybersecurity」の旗を振り、普及啓発に全力を尽くすべきである。
なお、インシデントが発覚しても、レピュテーションリスクを恐れて組織内での報告、組織外への情報共有や公表を躊躇するケースが非常に多いと言われる。このような状況を改善するためにも、サイバーインシデントに対して適切に対応することへのインセンティブ設計を行うべきである。
2.サプライチェーンセキュリティ
サプライチェーン全体でサイバーセキュリティ対策を進めていくため、産業界が中心となって「サプライチェーン・サイバーセキュリティ・コンソーシアム」が設立された。政府においては、このような取組を地域の中小企業にまで浸透させるべく、当該コンソーシアムとも連携し、各地域におけるセキュリティ・コミュニティの形成を積極的に支援すべきである。
中小企業においてはセキュリティ対策にリソースを割くことが困難な中、低コストで安心なサポートを受けられる「サイバーセキュリティお助け隊サービス」が政府の肝いりでスタートした。当該サービスの今後の利用拡大が望まれるところ、政府としてもその周知徹底を図るべきである。
個人情報を取扱う事業者が業務の一部を他の事業者に委託する場合には、安全管理措置や委託先への監督が適切になされる必要があるが、現状は十分な対策が行われていない事案も見られることから、政府として個人情報をはじめとする多様な情報が適切に守られるために必要な対策を早急に講ずるべきである。
3.人材育成
NICT(国立研究開発法人情報通信研究機構)においてはこれまでも、国の機関、地方公共団体、重要インフラ事業者等に対して実践的なサイバー防御演習プログラムを提供し、セキュリティ人材の育成に取り組んできた。これに加え、「サイバーセキュリティ統合知的・人材育成基盤(CYNEX)」と称してそのノウハウを開放し、民間による自律的な人材育成を推進し始めたところである。今後はCYNEXの幅広い活用を通じてセキュリティ人材の充実を図っていくべきであるが、その際、講師の質の担保も極めて重要な課題であることから、政府としてベンチマークを設けるべきである。
高度人材の育成については官民挙げて取組んでいるところであるが、沖縄科学技術大学院大学(OIST)も育成の場の構築を手掛けつつあり、政府としてこのような取組を重点的にサポートしていく必要がある。
「DX with Cybersecurity」の観点からは、各事業部門のマネジメント層が自らの担当分野に関する知見に加えてセキュリティに関する知識も保有することが求められる。こうした「プラス・セキュリティ」人材の育成につき、プログラム策定等必要な施策を講じる必要がある。
以 上