 |
|
| 情報セキュリティガバナンスのあり方 |
第1回:社会の「神経系」を担う情報技術
著者:経済産業省 成田 裕幸 2005/11/22
|
|
|
| 前のページ 1 2 3 次のページ
|
|
| 企業や組織の情報セキュリティ対策の現状
|
まずは、企業や組織の情報セキュリティ対策がどのように、またどこまで行われているのかを法の関連性とともにみていく。
|
| 国内の状況
|
近年、コンピュータウイルス・ワームの感染拡大や企業の保有する機密情報・個人情報の流出、システムダウンによる業務の停滞などの「IT事故」が相次ぎ発生している。これらの事故によって金銭的被害が生じて企業経営への影響が顕在化しつつあるとともに、社会全体が高度のネットワーク化されてきた結果、IT事故の影響が個別企業内の問題に留まらず、社会全体に波及する事例も発生している。
このようにIT事故は企業経営に直結することから、企業自らが情報セキュリティ対策を行うことが基本であるが、同時に企業における情報セキュリティ対策の実施は株主・消費者・取引先のみならず社会全体の要求になりつつある。
その代表的なものが、法令遵守と企業の社会的責任(Corporate Social Responsibility:CSR)であり、企業はこの2つの面から情報セキュリティ対策が問われるようになってきている。
前者についての代表例は「個人情報の保護に関する法律(個人情報保護法)」である。個人情報保護法は、IT化の進展にともなう個人情報の利用の増加と個人情報の取り扱いに対する社会的な不安感の広がりを背景として2003年5月に成立したものであり、2005年4月に全面施行された。
個人情報保護法によって、個人情報取扱事業者に該当する企業は情報セキュリティ対策を中心とした「安全管理措置」が義務づけられるため、該当する企業には早急な対応が求められている。
また、法令に基づく情報開示という観点では証券取引法もある。ここでは有価証券報告書の継続開示企業に対する投資家の判断に重要な影響をおよぼす可能性のあるリスク情報(ITリスクを含む)を有価証券報告書に記載することを義務づけている。他の例では、各事業法に基づき、金融業界(銀行業、保険業)に対する業務および財産の状況に関する説明書類におけるリスク管理体制に関する記載が義務づけられている例がある。
一方、CSRの観点から情報セキュリティを捉える動きも顕在化しつつある。社団法人日本経済団体連合会「企業行動憲章 —社会の信頼と共感を得るために—」(最新版:2004年5月18日改訂)では、企業の遵守すべき行動10原則の中で「社会的に有用な製品・サービスを安全性や個人情報・顧客情報の保護に十分配慮して開発、提供し、消費者・顧客の満足と信頼を獲得する」との方針を示している。
また、企業のCSRに係る取り組みを開示するCSR報告書において、情報セキュリティ対策の方針や実施状況を取り上げる事例もでてきている。現在のCSRを巡る議論では情報セキュリティを正面から取り上げる動きはまだ見られないが、IT事故による社会的影響の増大を踏まえれば、将来的に情報セキュリティがCSRの重要な一要素となることが予想される。
これまでは環境報告書を公表する企業が多かったが、近年・雇用・人権・コンプライアンス・社会貢献なども含めたCSR(企業の社会的責任)報告書、サステナビリティ(持続的可能性)報告書を公表する企業が徐々に増加している。これら報告書の中で「情報セキュリティ」「個人情報保護」を個別テーマとして取り上げるケースも存在している。
|
| 米国の状況
|
米国では、企業の不正会計対策やテロ対策の波及効果として、情報セキュリティへの取り組みが進展しつつある。
2001年以降、大手企業の不正会計事件が相次ぎ発覚し、失墜した株式市場の信頼性を回復するため、米国ではコーポレート・ガバナンスの徹底を企業に求めるSarbanes-Oxley法(企業改革法)が2002年7月に制定された。
同法では、米株式市場に株式を公開している企業のCEO(Chief Executive Officer:最高経営責任者)およびCFO(Chief Financial Officer:最高財務責任者)に対して、財務諸表の正確性の保証を義務づけていること、また財務報告プロセスに関わる内部統制については情報システムの有効性の評価も求められていることから、対象企業は結果的に情報セキュリティ対策を強化する必要に迫られている。
また1993年のワールドトレードセンター爆破事件を契機に、テロ対策の必要性が叫ばれ、企業においても事業継続計画(Business Continuity Plan:BCP)への関心が高まった。さらに2001年の同時多発テロ事件以来、米国のリスク管理に対する意識が大きく変わり、BCPをより実践的に策定・運用する傾向が見られる。特に事業のIT依存度が高まっていることから、BCPの策定・運用においてはITの継続性も考慮した検討がなされている。
|
前のページ 1 2 3 次のページ
|
|
|
|
|
著者プロフィール
経済産業省 成田 裕幸
経済産業省 商務情報政策局 情報セキュリティ政策室 企画係長
平成13年に経済産業省に入省。貿易経済協力局通商金融・経済協力課に配属。その後資源エネルギー庁資源・燃料部 石油・天然ガス課勤務を経て、平成17年6月より現職。商務情報政策局情報セキュリティ政策室では、主に情報セキュリティガバナンスの普及などを担当。
|
|
|
|
|
|
