産業サイバーセキュリティセンター発足やその人材育成施設の設置等も含め、2020年に向けて進めている取り組みがいくつか発表されてきているようです。

これも、そのうちの1つ（だと思います）。

www.ipa.go.jp

中小企業が（ここに示された）マークを使いたいかというと…多分そうではない気がしますが（やっぱりPマークやISMS・ISO27001には勝てません…勝負する気はないでしょうけど）、十の団体・組織が連携して行う活動内容のうち、(2)の相談対応がどこまで実効性を持つかがポイントになるような気がします。

中小企業と密に接触しそうなのは税理士ぐらいだと思いますが（商工会・商工会議所なんかは関係が薄い業種もありそう）、（主に大都市圏で開業している）一部を除いて税理士はITやサイバーセキュリティにはあまり強くないので、うまく相談窓口につなげられるのか、そもそも窓口が機能するのか…ちょっと厳しそうです。

(1)の普及・啓発活動は…これから頑張って取り組むのでしょうが、これまでは、少なくとも地方では、（Webサイト以外では）ほとんど見かけませんでした。

おそらく全く活動していなかったわけではないはずなので、中小企業が接点を持つことができる「機会」が少なすぎるのでしょうね。

サイバーセキュリティ月間のイベントが、地方では異常に少ない点でもわかることですが。

この話自体は年末にも少し話題になったようですが、厚労省内での話（ガイドライン策定）が進んだのを日経新聞が取り上げたことで、また話題になっているようです。

会社側の指示なら労働時間であることは現行法でも労働時間であることは「当たり前」ですが、そもそも「会社の指示」でやっているなら「自己啓発」と呼ぶこと自体が間違っていると思いますので、

「明示的・暗黙的の別なく、指示してやらせることは自己啓発ではなく業務なので、当然、その時間は労働時間になる」

というような表現で伝えて欲しいです。

※個人的には「自己啓発」という呼び方は好きではないですが。

ただ、こういう法改正やガイドライン強化が行われるとき、どこまでも抜け穴を探すか開き直って無視する企業がある一方で、過剰反応する企業が多いのも気になります。

個人情報保護法完全施行時の過剰反応がいい例です。

私などは、ITイベントや勉強会などに、会社の指示ではなく自分の意思で（場合によって休みも取って）自費参加していますが、世間のバッシングを恐れる企業が「少しでも業務に関係ありそうな自己啓発は、必ず上司の承認を得てから行うこと、日時と時間を記録して報告すること」なんてことを始めたら大変です。

管理の行き過ぎは個人の自由を不当に制限することになるので公序良俗違反になりかねませんが、「どちらが優先されるか」については世の中の反応に影響されるので（今回のガイドライン強化もまさにその例）、ちょっと心配です。

そのうち、「経営者かフリーランス（か無職）でなければ自己啓発禁止」になったりして。