MISSION 3-9　ビジネスを継続するために（守りのIT投資とサイバーセキュリティ対策）　経営者が認識すべきサイバーセキュリティ経営３原則

原則１	サイバーセキュリティ対策は経営者のリーダーシップで進める

サイバー攻撃のリスクをどの程度容認するのか、セキュリティ投資をどこまでやるのか、経営者が決めなければサイバーセキュリティ対策はスタートしません。

従業員は安心して業務に集中できる環境を求めますが、利便性が低下し、面倒な作業を伴う対策には積極的に取り組めないこともあります。経営者が自らリーダーシップを発揮しなければ、サイバーセキュリティ対策は進みません。

原則２	サプライチェーン全体にわたりサイバーセキュリティ対策に目を配る

サプライチェーンとしてつながる国内外の拠点やあらゆる委託先等においてサイバーセキュリティ対策が不十分であった場合、それらのセキュリティが弱い組織を踏み台にしたサイバー攻撃による重要情報の流出等、サプライチェーン全体の機能が停止する恐れがあります。

自社の対策不十分であれば、自社がサプライチェーンの他企業にとっての加害者の立場になる可能性もあります。対策を推進することは、サプライチェーン全体のリスクを下げるため、企業規模を問わずサプライチェーンに参加する全ての企業の経営者の責務です。

原則３	関係者とのサイバーセキュリティに関するコミュニケーションはどんなときにも怠らない

顧客、取引先、委託先、代理店、利用者、株主などからの信頼を高めるには、普段からサイバーセキュリティ対策についての情報開示に努め、社内・社外との適切なコミュニケーションを図ることが必要です。