HOME情報セキュリティ 「日本的経営と情報セキュリティ研究会」報告書を公開

本文を印刷する

情報セキュリティ

「日本的経営と情報セキュリティ研究会」報告書を公開

掲載日 2013年2月27日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

 組織・企業における経営者が、情報セキュリティを経営戦略にとらえ、いかに企業に情報セキュリティを定着させるべきかについて、有識者による「日本的経営と情報セキュリティ研究会」を設置し検討してきました。今般、報告書をまとめ、IPAのウェブサイトで公開しました。

報告書の概要

 わが国企業に情報セキュリティを定着させるためには、「日本的経営」という環境にマッチした施策を工夫する必要がある。そこで最も大切な要素は、ボトム・アップを中心にしてきた「日本的経営」の伝統の中に、トップ・ダウンが不可欠な情報セキュリティ施策を、不適合を起こさぬように埋め込むことである。具体的には、まず利害関係者全員の情報共有を基本とする日本的経営とNeed To Knowを原則とするセキュリティ経営のどう折り合いをつけるかを命題とし、商学、経営学、社会心理学、会社法、などの専門家および実務家からなる研究会において、主に以下の観点から議論を重ねた。

 (1) 情報共有と日本的経営
 (2) 経営者のリスクマネジメントとリスク認知
 (3) コーポレートガバナンスと情報セキュリティ

 さらに、インターネット調査により、ガバナンスにより抑制が期待される組織的な内部犯罪に日本的経営の特徴がいかに影響するかを調査し、統計分析した。

 本報告書は、全体をまとめたエグゼクティブサマリー、本研究会発足の背景などの序章、その後有識者の専門領域の観点からの日本的経営と情報セキュリティに関連した各論、さらに調査編から構成される。 本報告書のポイントは以下の通りである。

(1) セキュリティ経営が必要とされている
 企業価値の向上と社会的責任の遂行を、経営戦略に位置付けることによって、セキュリティ経営が適切に実現される。セキュリティ経営における情報セキュリティ対策は、(1)経営・人事慣行の変化に伴い、従業員の意識も変化していく中で、内部不正を抑止していくこと。(2)知的財産を含む情報資産をいかにして管理し、活用するか、さらに(3)不祥事や不測の事態におけるリスクマネジメントにより事業継続を実現すること。などがあげられる。これらの対策には、経営層のコミットメントが重要であり、多様なステークホルダー間でのガバナンス設計が必要である。

(2) 経営者のリスクマネジメントあり方
 経営者が、潜在的であるが発生すると多大な被害があるリスクに対して、過小評価しがちであることに対して、社外取締役・監査役といった第三者によるチェック機構が有効と考えられる。また、典型的な日本型経営システムにおいては、情報が社内に非公式に広く共有され、円滑な事業運営を支えてきた。しかし、情報セキュリティの観点からは、適切な権限をもつもののみが必要な情報を参照可能とするという情報管理体制が構築されるべきである。さらに、企業活動にかかわる低確率なリスクを想定外から残留リスクとして常に意識し、事故が発生する時に備えるべきである。不測の事態において、経営者がダメージを最小化するための適切な判断を行っていくことは容易ではない。しかし、社会的責任と企業価値の維持・向上を念頭(「木にとらわれず森を見る」)に置いた善管注意義務(「気付きを大切にする」)を果たしつつ、潜在的リスクに対して長期的な視点からの判断(「将来のことに対し謙虚である」)を行い、そして意思決定に対する第三者や専門家からのチェック機能を担保することにより、不測の事態を「災い転じて福となす」ためのリスク管理は必ずや可能となるはずである。

(3) 日本的経営を特徴づける要素のいくつかは内部不正を誘発する可能性がある
 年功序列、長期雇用などに代表される日本的経営と組織のルール違反といかなる関係があるかについて、調査会社のインターネットモニターを国内就業者数の割り付けをしたうえで、1000人のサンプルを対象として質問紙調査を行った。その結果、従来「日本的経営」を象徴する中心的特性とされてきた「終身の関係」(a lifetime commitment)が、個人的な不正行為ではなく組織的な不正(組織的逸脱)行為とどう関わっているかに関して、以下のような興味深い知見が得られている。 第一に、雇用の安定、職場環境の向上、組織の価値を従業員に周知することなどは、組織的な不正を防止する効果があると考えられる。他方で第二に、組織への一体感、情緒的な感情、功利的な帰属意識、属人風土(提案が良いか否かではなく、誰の提案であるかを重視するような風潮)などは、逆に組織的な不正を増長させる恐れがある。

今後の取り組み

 IPAでは、情報セキュリティを推進するために、社会科学的観点からの状況把握、分析を実施しています。今後も、本報告書を緒として経営者の情報セキュリティ意識の向上に寄与する活動を実施していきます。

報告書のダウンロード

報告書本編 (PDF:2.36MB)
調査編(PDF:2.90MB)

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 笹岡/小松

TEL:03-5978-7530 FAX:03-5978-7546 E-mail:03-5978-7530までお問い合わせください。