セキュリティアクション二つ星でDX認定を目指す前に──退職者が最大のセキュリティホールである現実を直視せよ
admin2020年代の中小企業経営において、「デジタル化」と「セキュリティ」は切っても切れないテーマです。経済産業省が推進するDX認定制度も、その流れの中にある重要な施策です。
この認定制度に申請するためには、いくつかの条件をクリアする必要があります。その一つが、IPA(情報処理推進機構)が提供する「セキュリティアクション 二つ星」の取得です。
しかし、制度に沿って外形的なセキュリティ整備を進めるだけでは、本当に守るべき情報資産は守れないという現実もあります。特に、見落とされがちで、かつ深刻なリスクが「退職者による情報漏えい」です。
本記事では、制度の正しい理解とあわせて、現場で本当に起きた退職者によるリモートアクセス被害の実例、そしてその対策についても掘り下げます。
セキュリティアクション「二つ星」とは?
「セキュリティアクション」は、中小企業が自らの情報セキュリティ対策状況を外部に向けて宣言できる自己宣言制度です。
このうち「二つ星」は、自社で情報セキュリティ基本方針を定め、それをWeb上で公開することが要件です。以下のようなステップで進めます:
- 中小企業の情報セキュリティ対策ガイドライン 付録3
→「5分でできる!自社診断」を実施し、現在の取り組み状況をチェック - 付録2「情報セキュリティ基本方針(サンプル)」
→ これをベースに、自社オリジナルの基本方針を作成 - 作成した基本方針をWebサイトなどで外部公開する
- IPAのサイトで「二つ星」として登録・宣言
この一連のプロセスを通じて、企業は「情報セキュリティに取り組んでいる姿勢」を社会に対して明示できます。
DX認定制度との関係
経済産業省が定めるDX認定制度では、「情報セキュリティ体制の整備」が認定条件の一部となっています。
その中で、セキュリティアクション二つ星を取得していることが、中小企業がこの条件をクリアするための具体的な手段のひとつとして位置づけられています。
つまり、セキュリティアクション二つ星の取得は、「DX認定申請の入り口」と言える重要な要素なのです。
しかし、本当に守るべきは「制度外」のセキュリティホール
ここで一つ、現場で実際にあった深刻な情報漏えい事件を紹介します。
■ 実例:退職者がTeamViewerで社内PCに侵入
ある中小企業で、ITに詳しい若手社員が在職中、自分が使う業務用PCにTeamViewerというリモート操作ソフトをこっそりインストールしていました。
一見業務のためのリモートツールのようですが、これが問題の核心です。
彼は退職後、自宅のPCからこのTeamViewerを使い、会社のPCへ何度もリモート接続。営業リストや顧客情報、取引単価表などの機密情報を外部に持ち出していたのです。
会社は異変に気付かず、元社員がライバル会社に転職し、そこと条件が酷似した営業提案が行われて初めて事態に気付きました。すでに被害は広範囲に及んでいました。
なぜこのようなリスクが放置されがちなのか?
このような退職者リスクは、セキュリティアクションの自社診断や基本方針の中ではほとんど言及されていません。外部からの攻撃(ウイルスや標的型メール)に比べて、内部リスク、とくに**「もういない人間」**への対策は盲点になりがちです。
しかし実際には、情報を最も熟知しているのは内部の人間であり、退職者ほどチェックが甘くなるタイミングはありません。
有効な対策:退職者のPCは「初期化」が基本
このようなリスクを防ぐためには、技術的・手続き的な両面の対策が必要です。
■ 技術的対策
- PC・スマホの完全初期化(リカバリ)
→ リモートソフトや不正設定をすべて削除。単なるアカウント削除では不十分。 - 全アカウントの即時無効化
→ Google Workspace、Dropbox、チャットツールなどすべての業務アカウントを退職日中に停止。 - リモートソフトのインストール禁止ルールの明文化
→ 管理者以外はインストールできない設定+監査の仕組みを導入。
■ 手続き的対策
- 秘密保持誓約書の再確認
→ 「退職後も機密情報を保持・漏えいしない」ことを文書で交わし、責任を明確化。 - 退職時チェックリストの整備
→ デバイス回収、アカウント停止、誓約書確認などを漏れなく対応。
まとめ:「制度取得」だけでは守れない、現実のセキュリティ
セキュリティアクション二つ星の取得は、DX認定への第一歩として非常に有効です。しかし、本当に大切なのは、その制度の“外側”に潜むリスクに目を向けることです。
「退職者のPCを初期化せず放置していた」
「インストールされたソフトのチェックをしていなかった」
たったそれだけの油断が、会社の信用や取引先との関係を一気に崩壊させる可能性があります。
だからこそ、制度対応と同時に、“人”に起因するリスクに向き合い、ルールと仕組みで対策することが今の時代には欠かせないのです。
あなたの会社では、退職者のPC、ちゃんと初期化していますか?
それこそが、セキュリティアクションに載っていない、でも最も重要な「アクション」かもしれません。
📌 DX認定の取得をお考えの方へ
✅ DX認定制度に精通した行政書士が、申請からWeb公開までフルサポート!
✅ 書き方ではなく、「通る構成」で一発合格を狙えます!
✅ スタンダードプランで認定取得まで対応、パーフェクトプランでは認定後6ヶ月の継続支援つき!
📩 無料相談はこちら → [お問い合わせページ]
📌 DX認定サポートの詳細はこちら → [トップページ]
\ 最新情報をチェック /
