情報セキュリティガバナンス

この記事のURLhttp://japan.internet.com/public/technology/20050112/5.html

2003年に結成された National Cyber Security Partnership の「コーポレート・ガバナンス・タスクフォース」から2004年4月に「Information Security Governance 報告書（Call to Action）」が発表された。

5つの勧告が提示されているが、主に情報セキュリティ対策をコーポレート・ガバナンスのプロセスに組み込み、CSR（Corporate Social Responsibility:企業の社会的責任）のひとつとして捕らえようという「情報セキュリティ・ガバナンス」の考え方を提示したものである。

民間企業に対する個人情報保護法の完全実施を2005年4月にひかえ、情報セキュリティ対策の必要性は十分に認識され、基本的な考え方は一般にも広く浸透してきた。プライバシーマーク制度や ISMS 制度が浸透し、情報セキュリティ監査制度が進められる一方、企業の対策状況を一般に公開して透明性を高めることが求められている。

このような声に応えるべく、経済産業省が情報セキュリティ政策の一つとして取り組んでいる。コストがかかり対費用効果が見えにくい情報セキュリティ対策を、企業価値を高める方策として推進しようというものである。同省では省内の研究会として、「企業における情報セキュリティガバナンスのあり方に関する研究会」を開催している。この研究会では、「事業継続計画策定ガイドライン WG」と「情報セキュリティ対策ベンチマーク WG」の二つの WG を設置した。

事業継続計画策定ガイドライン WG では、事故が発生した際の事業継続計画を策定するためのガイドラインについて検討する。情報セキュリティ対策ベンチマーク WG では、企業が自己診断を行うためのベンチマークを策定し、対策の実施状況などを一般公開するための報告書のあり方などについて検討している。

事業継続計画は、文字通り事故の発生後の対応方法などについて、企業が事前に取り決めて実施しておくべき内容をガイドラインとしてまとめている。

ベンチマークは企業の経営者が質問に回答することを想定している。ISMS や情報セキュリティ管理基準などを元に、必要最低限の質問項目で実施状況を把握できることを目指して策定中である。企業全体をターゲットにしたものであるが、部門長などが自部門の実施状況を把握することにも使用できる。回答は PDCA（Plan, Do, Check, Action）を意識したものとなっている。

ベンチマークの結果から対策の足りない項目を抽出し、次に企業がガバナンスとして行うべき内容を明確にすることが目的である。さらに、情報セキュリティ対策の実施状況を報告書にまとめ、公開することで、企業の価値判断に寄与できるようにする。すなわち、コストというマイナスの面から、企業価値というプラスの面に転じ、企業の発展につなげようとするものである。

情報セキュリティの対策はさまざまな製品がならび、技術の面からは比較的容易に対策を講じることが可能である。しかし、個人情報漏洩などの多くのセキュリティ事故が内部犯行といわれているように、従業員や派遣社員、委託先などの統制が重要な課題となっている。情報セキュリティガバナンスの考え方が浸透することで、人為的な事故を減らすことができるだろう。

五十嵐 智 日本ユニシス株式会社 先端技術企画部 テクノロジインキュベーター

提供:日本ユニシス