月別アーカイブ 3月 2019

中小企業のセキュリティ対策!

 セキュリティ対策の重要性が高まる中、2019年3月19日に独立行政法人情報処理推進機構(IPA)より『中小企業の情報セキュリティ対策ガイドライン第3版』が発表されました。中小企業が情報セキュリティ対策を進めるにあたって何から始めたらいいのか、急速に拡大しているクラウドサービスを利用するにあたって気を付けるポイントをガイドラインに沿って紹介します。

 

「中小企業の情報セキュリティ対策ガイドライン」とは

 「中小企業の情報セキュリティ対策ガイドライン」は、中小企業(小規模事業者や個人事業主、各種法人含む)の経営者や情報管理に関わる人がセキュリティに取り組む際の「経営者が認識し実施すべき指針」と「社内において対策を実践する際の手順や手法」をまとめたものです。情報を安全に管理することの重要性を認識し、中小企業にとって重要な情報を漏えい、改ざん、消失などの脅威から保護するための情報セキュリティ対策の考え方や、段階的に実現するための方策を紹介することを目的としています。

 

大幅改定の背景と変更点

 本ガイドラインは2016年11月に第2版が公開された後、小改訂や付録の追加は行われていましたが、今回は大幅改訂となりました。

 改定の背景

 大幅改定の背景として、2017年11月に経済産業省「サイバーセキュリティ経営ガイドライン」の大幅改訂や、中小企業等を対象としたクラウドサービスの充実といった形で環境が変化したことが挙げられます。

 変更点

 主な変更点としては、用語・全体構成の見直し、具体的な対策手法や付録の追加が行われました。ITにあまり詳しくない経営者の方々にも理解しやすく、組織がこのガイドラインに沿って段階的にセキュリティ対策に取り組めるように考慮されています。
また、クラウドサービスを利用する際の留意事項やチェック項目をまとめた「中小企業のためのクラウドサービス安全利用の手引き」が追加され、クラウドの活用を検討している企業、クラウドを既に活用している方がすぐに使えるようになっています。

 

中小企業でのセキュリティ対策の取り組み方針

 詳細は『中小企業の情報セキュリティ対策ガイドライン第3版』を確認いただく必要がありますが、情報セキュリティ対策の不備がある場合、大きな不利益を被り、経営者の責任も追及されます。そのため、経営者がリーダーシップをもって情報セキュリティ対策を推し進め、企業全体でセキュリティ対策に取り組む必要があります。
 また、本ガイドラインに沿ってセキュリティ対策を講じれば、「SECURITY ACTION(セキュリティアクション)」として中小企業自らが情報セキュリティ対策に取り組むことを自己宣言することができます。取り組み段階に応じて、「一つ星」「二つ星」のロゴマークを無料で使用することができます。こちらの「SECURITY ACTION」を宣言し、ロゴを使用することにより、取引先や関係者へ自社がセキュリティ対策への取り組んでいることを伝えることができます。また、平成29年度補正予算の「IT導入補助金」では、「SECURITY ACTION」を宣言していることが補助金の申請要件になっていました。

セキュリティ対策を「何から始めればいいか」という方へ

 できるところから始めよう!
 「情報セキュリティ5か条

 まずは下記の「情報セキュリティ5か条」から取り組みましょう。
1.OSやソフトウェアは常に最新の状態にしよう!
2.ウイルス対策ソフトを導入しよう!
3.パスワードを強化しよう!
4.共有設定を見直そう!
5.脅威や攻撃の手口を知ろう!
 これらの項目は、企業の規模に関わらず、必ず実行すべき重要な対策です。経営者のトップダウンで5か条を実行し、セキュリティ対策の第一歩に取り組みましょう。
また、自社が「情報セキュリティ5か条」への取り組みを開始したことを自己宣言することで「SECURITY ACTION」一つ星を宣言し、ロゴを使用することができます。

 

組織的な取り組みを始めよう!

 情報セキュリティ自社診断ツールで自社の状況を把握!

 「5分でできる!情報セキュリティ自社診断」を参考に自社のセキュリティ対策の状況を把握し、対策の強化に努めましょう。

「情報セキュリティ基本方針」を定め、外部に公開

 従業員や顧客、取引先に自社が情報セキュリティ対策に取り組んでいることを伝えるため、経営者が「情報セキュリティ基本方針」を定めましょう。フォーマットの決まりはありませんが、「付録2:情報セキュリティ基本方針(サンプル)」を参考に作成するのがいいでしょう。

「SECURITY ACTION」二つ星を宣言しよう!

 上記の「5分でできる!情報セキュリティ自社診断」と「情報セキュリティ基本方針」を確認し、実施すべき対策をまとめたら「SECURITY ACTION」二つ星を宣言することができます。

 

より本格的にセキュリティ対策へ取り組もう

 今回はSECURITY ACTIONを宣言できる2種類を紹介しましたが、ガイドラインでは、管理体制、緊急時対応体制といったより強固な対策の進め方が記載されています。段階的に、より本格的なセキュリティ対策を実施しましょう。

 

便利だがセキュリティが不安なクラウド

 クラウドサービスを紹介するにあたって、お客様よりクラウドサービスはセキュリティの観点から安全なのか、というお問い合わせをよくいただきます。
 中小企業がクラウドサービスを活用するにあたって確認するチェックポイントが「クラウドサービス安全利用の手引き」にまとめられています。大きく分けてクラウドサービスを選択するとき、運用するとき、セキュリティ管理全般のポイントが掲載されていますので、これらを考慮することでクラウドを安心して利用することができます。

 

まとめ

 最近でも情報漏洩といったセキュリティ対策不足が原因のニュースが大きく報じられていました。企業の大きさには関係なく、すべての企業でセキュリティ対策への取り組みはより重要視されるので早めに取り組みを始めましょう。
 また、コラム「DX(デジタルトランスフォーメーション)の第一歩」で紹介したように、今後企業が取り組んでいくDXを支える技術にクラウドが含まれています。

DX(デジタルトランスフォーメーション)の第一歩

 クラウドの重要性が高まっていく中でクラウドの使用を避けることは難しくなってきます。セキュリティ対策を講じることで安全なクラウド活用を目指すべきではないでしょうか。

 

EDI (電子商取引)における下請法の留意点

 受発注などの取引業務を効率化したい、そう考える企業は多くあります。取引業務の効率化にはEDI(電子商取引)が有効な手段ですが、EDIは自社のみならず取引企業にも協力してもらわなければ実現することはできません。

製造業が発注業務にEDIを導入する6つのメリットとは?

 そこで考えなければならないのは、発注側としてEDIの導入を検討し、取引企業の協力を得る際、下請法に抵触しないかという点です。
今回は、下請法の観点からEDI導入時の留意点についてご紹介します。

 

関係ないと思っている企業や取引が対象になることも

 まず、下請法に関係する企業や取引とはどういったものになるでしょうか。
それぞれの詳細は割愛しますが、下請法は下図の通り、資本金の額と取引の内容によって適用が判断されます。

出典:公正取引委員会ホームページ 下請法の概要
 
 製造業の場合、この中で製造委託について注意が必要です。いわゆる「外注」や「外作」と呼ばれる取引が対象になりますので、部品や材料などの規格品、標準品の購入の取引は下請法の対象外となります。しかし、標準品であっても、たとえば自社用にラベルをつけてもらう、自社の刻印をしてもらうといった個別仕様が加わった際には対象となるようです。
 したがって、EDI導入検討時には、取引に協力してもらう企業から加工が発生する品を仕入れているかよく調べる必要があるでしょう。また、「ウチは小さい会社なので下請法とは関係ない!」と思っていても資本金が1千万円を超えていると、取引先の資本金が1千万円以下の場合、親事業者になり得ますので、同様に注意が必要です。
 

EDIを導入しても下請企業には注文書の書面の交付が必要か

 次に、下請法では親事業者は発注に際して注文書等の「書面の交付義務」があると定められています。しかし、EDIは注文書などの紙を使わないこと(ペーパーレス)がメリットになります。EDIを導入しても書面の交付が必要なのでしょうか。
 この点については、下請法の第3条第2項にて、公正取引委員会が定める方法であれば、書面にかえて電磁的記録(電子データ)による交付が認められています。

下請取引における電磁的記録の提供に関する留意事項
1 電磁的記録の提供の方法
 下請法第3条第1項の書面の交付に代えて行うことができる電磁的記録の提供の方法は,以下のいずれかの方法であって,下請事業者がファイルへの記録を出力することによって書面を作成することができるものをいう。
(1) 電気通信回線を通じて送信し,下請事業者の使用に係る電子計算機に備えられたファイル(以下「下請事業者のファイル」という。)に記録する方法(例えば,電子メール,取引データをまとめてファイルとして一括送信する方法(EDI等),電磁的記録をファイルに記録する機能を有するファックス等に送信する方法等)
出典:公正取引委員会ホームページ 下請取引における電磁的記録の提供に関する留意事項

 
 ただし、下請企業に対し注文書など書面に代えて電磁的記録(EDIデータなど)を提供する場合には、一定の要件を満たす必要があります。
 

下請企業とEDI取引をする際の要件

 下請法では具体的には次の要件を満たす必要があります。

 ①下請企業の承諾
 ②下請企業に不当な費用負担をさせない
 ③取引データをディスプレイで確認、ダウンロードできること 
 ④取引の訂正、削除の事実、および内容が確認できること
 ⑤取引先名、取引日付などで検索できること
 ⑥取引記録の2年間の保存

参考:公正取引委員会ホームページ
   下請取引における電磁的記録の提供に関する留意事項
   下請代金支払遅延等防止法第3条の書面の記載事項等に関する規則
   下請代金支払遅延等防止法第5条の書類又は電磁的記録の作成及び保存に関する規則
 
 それぞれの要件について、EDI取引をする場合の留意点をみていきます。

 下請企業の承諾

 当たり前ですが、EDIを導入する際にはあらかじめ取引企業の承諾が必要となります。
その際には費用負担の内容、EDIの提供を受けない申し出を行うことができることを下請企業に提示しなければなりません。なお、あらかじめ承諾を得ることによって、その後の下請取引について発注の都度承諾を得る必要はありません。

 下請企業に不当な費用負担をさせない

 グレーなケースが最も多い点ですが、下請企業がEDIで取引をするために、本来親事業者が負担すべき費用を下請企業に負担させてはいけません。たとえば、次のようなことが考えられます。
 ・通信回線費用
 ・パソコンなどの機器
 ・EDIシステムのソフトウェア費用や利用料
 下請法違反の勧告の事例の中で最も多い「下請代金の減額」において、特にEDIシステムのソフトウェア費用や利用料が、減額する名目としてよく挙げられています。
 ただし、このあたりは下請企業にとっても見合った利益(生産性向上など)があるのであれば、受益者負担の観点から必ずしも親事業者が負担しなければならないというわけではありません。

 取引データを
 ディスプレイで確認、ダウンロードできること

 ディスプレイ(パソコンの画面など)から、すぐにEDI取引データが参照出来る状態になっていること、そして、そのデータをダウンロードできるようにしておく必要があります。FAXでは、回線を通じて下請企業のプリンターに直接書面として印刷(交付)されますが、電子データによる取引だと一方的に送信するだけでは見落としもあるため、データを受信した上で、下請企業のファイルに保存ができる、保存されたことの確認ができる仕組みが求められています。

 取引の訂正、削除の事実、および内容が確認できること

 当然ながら下請企業に不利な取引をしていないか確認できるように、変更や削除に関わるEDIデータはすぐに確認できる状態にしておく必要があります。

 取引先名、取引日付などで検索できること

 導入するEDIシステムは、下請企業の企業名や範囲指定した発注日などにより、EDI取引データを検索することができる機能を有したシステムである必要があります。

 取引記録の2年間の保存

 下請法では、取引条件の変更があった場合の内容や理由、検査完了した日、支払日など、取引の記録に関わる書類(5条文書)は、取引書類の記載、または記録が終わった日から起算して2年の保存期間が定められています。EDIでは、例えば発注変更データや仕入検収データで同書類に相当する情報のやり取りを行っている場合、そのデータを保存しておかなければなりません。なお、電子帳簿保存法など他の法律でも保存期間が定められているので、それらも遵守する必要があります。
 
 上述の要件は、電子帳簿保存法で定められている要件とよく似ています。EDIで完全なペーパーレス化を図るためには電子帳簿保存法も切り離せません。
電子帳簿保存法におけるEDIの要件についてはこちらのコラムをご覧ください。

電子帳簿保存法におけるEDIの保存要件

 このほか、業界標準に準じていない独自仕様のEDIによる取引を下請企業に強要することは、下請法に抵触する恐れがあるとしている業界もあり、何らかの標準規格に準じたEDIを利用する方が望ましいでしょう。

 
 下請企業とのEDI取引で留意しなければならない点は多々ありますが、適正な取引を進めていれば恐れることはありません。EDIは互いの業務効率化のみならず、決済情報との連携や、EDIデータを電子記録債権する取り組み等により、下請企業にとっても透明化された取引の実現が期待できます。下請法の理解を深め、受発注業務の効率化に踏み出しましょう。

※本コラムは、2019年3月8日執筆時点の情報をもとにしております。
※本コラムはあくまで弊社の見解を示したものであり、実際の判断は弁護士事務所や公正取引委員会へご確認ください。

DX(デジタルトランスフォーメーション)の第一歩

 近年世界的な潮流となっている「デジタルトランスフォーメーション(Digital Transformation、以下、DX)」をご存知でしょうか。昨年12月12日には経済産業省が「DX推進ガイドライン」を設定し、今後、より多くの企業が取り組みを進めると見られます。解釈が難しいDXの概要と、実現への取り組み方法を紹介します。

 

DXとは

 DXとは、スウェーデンのストルターマン教授が2004年に提唱した「ITの浸透が、人々の生活をあらゆる面でより良い方向に変化させる」という概念です。解釈が異なることがあり、よく耳にするけれど理解が難しい用語です。ビジネス用語としては「企業がテクノロジーを利用して事業の業績や対象範囲を根底から変化させる」という意味合いで用いられます。 

 

DXの必要性と支えるテクノロジー

 現在、世の中の消費行動はテクノロジーとともに変化し、既存ビジネスの再構築が必要です。将来的なデジタル社会で企業が生き残るために、企業自らテクノロジーを活用することが求められています。その変革こそが、DXです。
 DXを支えるテクノロジーは、イノベーションを促進する「イノベーションアクセラレーター」と呼ばれるIoTや、人工知能(AI)を含む認知システム、ロボティクス、3Dプリンティング、次世代セキュリティー、そして「イノベーションアクセラレーター」の土台となる「第3のプラットフォーム」と呼ばれる「モバイル」「ソーシャル」「ビッグデータ」「クラウド」です。
出典:Insight for D「【解説】デジタルトランスフォーメーション 」 

 

DX≠デジタルへの置き換え

 DXと近い概念として、「Digitalization(デジタライゼーション)」があります。Digitalizationは “既存の製品やサービス、あるいはビジネスプロセスを、IoTやAI、クラウドといったデジタルテクノロジーを活用して、機能や効率を高めるなどして、既存の価値を高めることを指します。これはDXではありません。“(ITmedia) 
 DXはITを活用して業務プロセスを再構築・アップデートし、最適な状態に変革するのに対し、Digitalizationは既存の業務プロセスの強化を目的とします。DXは業務プロセスだけでなく、ビジネスモデルや働き方を含む、経営の変革を目的とした概念です。 

 

DX実現の3つフェーズ

 ストルターマン教授によると、DXに至る段階を3つのフェーズ分けられます。
 ・第1フェーズ:IT利用による業務プロセスの強化
 ・第2フェーズ:ITによる業務の置き換え
 ・第3フェーズ:業務がITへ、ITが業務へとシームレスに変換される状態

 この3つのフェーズは、ITmedia「【図解】コレ一枚でわかるデジタル・トランスフォーメーションと3つのフェーズ 」で詳しく紹介されています。

簡単にまとめると
・第1フェーズ:基幹システムを活用して標準化された業務プロセスを徹底する段階
・第2フェーズ:第1フェーズのプロセスを踏襲しながら、RPAをはじめとするITで業務を代替させ、自動化する段階
・第3フェーズ:人間が働くことを前提に最適化された業務プロセスを、機械が働くことを前提に最適化された業務プロセスへと組み替え、さらなる効率と品質の向上を実現しようという段階

 DXはこの第3フェーズの状態を指します。ITmediaによると、第3フェーズでは”ITと業務の現場が一体となって、改善活動を高速で繰り返しながら、常に最適な状態を維持し、業務を遂行する仕組みができあがることになる”とあります。IoT(Internet of Things)・IoE(Internet of Everything)といった仕組みで収集した膨大なデータ(ビッグ・データ)をAIが解析し、現時点での最適な業務プロセスにアップデートします。

 企業はビジネスモデルや働き方の変革によって、来たるデジタル社会に対応することができるのです。 

 

まとめ

 DXは単にIoTやAI、クラウドを導入するといったテクノロジーを活用するだけでは実現できませんし、また、それ以前に第1フェーズや第2フェーズまで到達していなければ、DXの実現にはほど遠いです。まずは基幹システムで業務を回し、標準化、脱アナログを目指す必要があります。その後、IoTやRPA、EAIを活用してデータ収集や業務プロセスの自動化を推し進めることがDXへの一歩となるでしょう。そして何より、DXは”変革”を意味するので、現場や経営層、会社全体で変化を受け入れられる企業文化にすることが必要です。

 

 弊社では生産管理システムをはじめ、EAIやRPAといった自動化ツールを提供しております。DXの実現のため、第1フェーズや第2フェーズを実現してみませんか。お気軽にお問い合わせください。