（１）意義、役割について

平成28年に情促法が改正され、国家資格として情報処理安全確保支援士（以下「登録セキスペ」という。）¹制度が創設された。登録セキスペは、サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うとともに、必要に応じその取組みの実施の状況についての調査、分析及び評価を行い、その結果に基づき指導及び助言を行うことその他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援することを業務としている。また、セキュリティの専門家のみならず、IT及びセキュリティを専門としない人にも説明・連携するという役割が求められている。

具体的には、企業の事業リスクのうち、情報セキュリティリスクについて、経営層、事業部門に対して平易な説明を行い、必要な支援、協力、連携を取り付けることや、セキュリティ事故が発生した際にも、必要な専門家と連携しながら、早期に回復できるように、経営層、事業部門、情シス部門相互間の橋渡しの推進を行うことなどが期待されている。

（２）登録セキスペとなるための要件について

登録セキスペになるためには、毎年春期と秋期に実施される情報処理安全確保支援士試験に合格するなどにより登録資格を得た上で、登録手続を行う必要がある。令和5年4月時点で21,633名が登録されている。

（３）法令上の義務等

（４）登録セキスペとなることのメリット

登録セキスペとなった者は、毎年の講習による知識の最新化や、集合講習などの場での登録セキスペ同士のつながりなどで、継続的に知識・スキルを習得することができる。

また、登録セキスペについては、関連資格取得についての優遇措置があり、現在、情報セキュリティ監査人の業務に携わるための資格取得の優遇制度²がある。

なお、2019年8月には、登録セキスペの自己研鑽や相互共助によるスキル維持及びスキル向上の場の提供や、登録セキスペ同士のつながりを広げ深めるための交流活動などを目的とした情報処理安全確保支援士会（JP-RISSA）が任意団体として発足した。

（５）登録セキスペを社内に持つことの意義

（１）背景・経緯

事業者にとって重要な技術等情報の管理（守り方）については、専門家等による意見も踏まえて、経産省が「重要技術管理ガイドライン」（平成29年4月公表）¹を作成したところ、事業者から、ガイドライン遵守についての認証制度創設の要望が聞かれた²。

加えて、信頼できる取引先等との技術等情報の共有の円滑化がイノベーション促進の観点等から重要とされる中、日本経済の基盤を支え、国内企業数の99％を占める中小企業等における技術等情報の管理を適確に進めていくことが不可欠であるものの³、情報セキュリティの自己評価に関するアンケートを中小企業に対して実施したところ、情報セキュリティ体制を整えるだけのリソースがない、どの情報が重要なのか分からない、重要情報をどのように管理すればいいか分からない等の理由から、情報セキュリティの取組を全く行っていないと答えた企業が3割程度あった³。

（２）要旨

本認証制度は、上記背景を踏まえ、技術等情報について、事業者の適切な管理を担保するため、事業者の情報セキュリティ対策の取組が国で示した「守り方」に即していることを、国が認定した「認定技術等情報漏えい防止措置認証機関」（以下「認証機関」という。）の審査によって確認されれば、認証を受けられる制度である。

下記のとおり、国に認定された認証機関が事業者を認証するという仕組みとなっており、令和5年3月末時点で、8機関が認証機関として認定されている。

本認証制度による認証を取得することにより、自社が適切な情報セキュリティ対策の取組を行っていることを対外的に示すことができるとともに、取引先から実際の確認（監査）を行うことなく情報管理レベルを把握してもらうことができ、取引先との関係で一定の信頼性を確保することができる。

図　技術情報管理認証制度の概要⁴

また、「守り方」については、事業者、有識者の意見やパブリックコメントを踏まえて、「技術及びこれに関する研究開発の成果、生産方法その他の事業活動に有用な情報の漏えいを防止するために必要な措置に関する基準」（認証基準）が告示として制定され、示されている⁵。

なお、経産省は、認証基準をもとに自社の情報セキュリティ対策の状況確認に活用できる「技術情報管理 自己チェックリスト」⁶を公表しており参考になる。

（３）情報セキュリティマネジメントシステム（ISMS）認証との違い

本認証制度は、法律に基づく制度であるほか、自社のレベルに合わせて実際に導入する情報セキュリティ対策を選択できる制度として設計されており、また、認証機関による指導・助言が認められるなど、情報セキュリティ体制の構築が難しい比較的規模が小さい事業者でも認証を取得することができ、ISMS認証⁷を取得するためのリソースが十分にない事業者でも活用することができる。

（１）DXの現状

DXとは、「企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること」をいうとされている¹。これは、ただ情報・各種プロセスを電子化する、データを利活用する、人力作業をAIやRPA (Robotic Process Automation)で代替することで効率化・コストダウンを図るのみではなく、経営戦略として、データ・デジタル技術を利用し、情報・各種プロセス・人的物的リソース・サービスを有機的につなぎ、これまで効率化や人的物的リソースの投入だけでは実現できなかった、ビジネスモデルの刷新やユーザ視点での新しい価値の創造・質の向上、組織における変革を起こすことを指す。

日本においては、デジタル化も遅れているが、経営陣も巻き込んだ経営戦略として、データ・デジタル技術を活用するDXはさらに遅れており、ユーザのニーズに応えられていないだけでなく、海外企業との競争という観点からも苦境に立たされている。

（２）DX認定

上記（１）のような状況を踏まえ、日本におけるDXを促進するため、DX認定制度が創設された。

（３）デジタルガバナンス・コード

経産省は、経営者に求められる企業価値向上に向けて実践すべき事柄をデジタルガバナンス・コード⁴として取りまとめた。当該コードは、以下の4つの柱から構成されており、概ね、各柱について、(i)基本的な事項、(ii)DX認定のための認定基準、(iii)望ましい方向性、及び(iv)取組例を説明している。また、2年に一度見直しに向けた議論を行うこととされていることから、令和4年には改訂版となる「デジタルガバナンス・コード2.0」が公表された⁵。

1. ビジョン・ビジネスモデル
2. 戦略（組織づくり・人材・企業文化に関する方策、IT システム・デジタル技術活用環境の整備に関する方策）
3. 成果と重要な成果指標
4. ガバナンスシステム

特にサイバーセキュリティの関係では、④ガバナンスシステムにおいて、柱となる考え方として経営者が事業実施の前提となるサイバーセキュリティリスク等に対して適切に対応を行うべきであるとされ、DX認定基準として、戦略の実施の前提となるサイバーセキュリティ対策を推進していることが挙げられている。この認定基準を満たすかどうかは、経営ガイドライン等に基づき対策を行い、セキュリティ監査（内部監査を含む）を行っていることの説明文書等の提出をもって確認するとされている。

関連して、経産省及び総務省は、Society5.0の時代における企業の役割、プライバシーの考え方や企業のプライバシーガバナンスの重要性を前提に、令和2年8月に「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を公開し、令和4年2月には、参考となる具体的な事例を更新したver1.2を公開しており⁶、DXを推し進める企業がプライバシーガバナンスを検討するうえで参考になると思われる。

（４）DX銘柄

経産省は、企業の戦略的IT利活用の促進に向けた取組みの一環として、東京証券取引所と共同で、2015年から、中長期的な企業価値の向上や競争力の強化のために、経営革新、収益水準・生産性の向上をもたらす積極的なIT利活用に取り組んでいる企業を「攻めのIT経営銘柄」として選定してきたが、令和2年からは、デジタル技術を前提として、ビジネスモデル等を抜本的に変革し、新たな成長・競争力強化につなげていく「デジタルトランスフォーメーション（DX）」に取り組む企業を「デジタルトランスフォーメーション銘柄（DX銘柄）」として選定することとした⁷。

令和3年の「DX銘柄」の選定において、DX認定制度やデジタルガバナンス・コードと有機的に連動するように評価基準の整理を実施。それ以降、当該企業の選定に当たっては、「企業価値貢献」及び「DX実現能力」という観点での評価が実施され、これらが高い東京証券取引所に上場している企業が「DX銘柄」として選定されている。

（１）ISO/IEC27000シリーズ

情報セキュリティに関する国際規格として、ISO/IEC27000シリーズがある。これは、情報セキュリティマネジメントシステム（ISMS: Information Security Management System）に関する規格群であり、JISとしても、JIS Q 27000シリーズとして制定されている。主なものとして以下の規格がある。

このうち、要求事項を定めるISO/IEC27001は、組織が所有する情報資産を機密性・完全性・可用性の観点から適切管理するための包括的な枠組みを提供している。この要求事項に関する認証を取得することも可能であり、一般に、法人単位ではなく、法人内の部署において認証を取得することも可能である。

（２）プライバシーマーク

JIS Q 15001は、個人情報保護マネジメントシステム(PMS: Personal information protection Management System)の要求事項を定めるJISであり、事業者が所有する個人情報を特定し、その入手から廃棄に至る一連の個人情報の取扱いを適切管理するための包括的な枠組みを提供している。

プライバシーマーク制度は、JIS Q 15001をベースとした審査基準に適合した体制を整備しているかどうかという観点から事業者を評価し、その旨を示すプライバシーマークの使用を認めるという仕組みであり、JIPDECが運営している。なお、プライバシーマークは法人単位で付与されることとなるため、ISMS認証と異なり、法人の一部の部署のみで認証を受けることはできない。

PMS、ISMSともに、これらは、「マネジメント」のシステムであって、テクノロジーに関する要求事項を定めているわけではないことに留意が必要である。マネジメントシステムであるため、サイバーセキュリティに関する技術的な対策を一通りカバーするものではない。したがって、ISMS、PMSの要求事項を遵守していれば、それ以上のサイバーセキュリティ対策が一切不要になるとまではいえない。

（３）米国国立標準技術研究所(NIST)について

米国国立標準技術研究所（NIST¹）は、産業競争力のベースとなる計測技術基盤を強化するために、米国議会が1901年に設立した国立規格基準局（National Bureau of Standards）を前身とし、現在は米国商務省の傘下で科学技術分野における研究を行う政府機関であり、情報セキュリティ分野においても、技術仕様やベスト・プラクティス等をまとめたレポートを数多く公表している。

米国では、平成13年9月11日の同時多発テロ事件を受け、連邦情報セキュリティマネジメント法（FISMA²）が制定された。FISMAは、NISTに対して、連邦政府機関の情報セキュリティ強化のための規格やガイドラインの開発を義務付けており、上記NISTが公表しているレポートの一部は、FISMAに基づくものである。

（４）NISTが公表しているレポート

NISTが公表しているレポートは、以下のように分類される。

（５）NISTが公表しているレポートの概要の紹介

NISTが公表しているレポートのうち、実務上特に重要と考えられるものについて、以下のとおり概要を紹介する。