経営者の方情報セキュリティガバナンス

本文を印刷する

情報セキュリティガバナンス

情報セキュリティは、技術部門の問題ではなくなりました。

情報セキュリティをめぐる環境は、日々変化しています。
インターネットが日本に普及し始めた1995年頃から2000年頃まで、情報セキュリティ対策の主流は、不正アクセス対策のためのファイアウォールやIDSの導入、ウイルス対策などの技術的対策でした。しかし、2000年1月に、一連の省庁ホームページ改ざん事件(科学技術庁、総務庁、経済企画庁、人事院、運輸省など)が、4月には郵政省のサーバが大量のスパムメールの中継に利用されるなどの事件が発生しました。これらの事件を契機に、同年7月に政府は「情報セキュリティポリシーに関するガイドライン」を策定しました(2002年改訂、「政府機関の情報セキュリティ統一基準」策定に伴い、2005年9月廃止)。
情報セキュリティマネジメントの考え方が浸透し始めたのは、この頃のことです。情報セキュリティ対策は、情報システム部門だけに任せておけば良いのではなく、組織全体で取り組むものであり、人的、物理的、組織的、技術的な多方面からの対策が必要であること、また、経営者の関与が重要であることが認識されはじめました。

情報セキュリティガバナンスとは

最近では、「情報セキュリティガバナンス」という考え方が提唱されています。2005年3月に発表された経済産業省の「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」では、「情報セキュリティガバナンス」を、「社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」と定義しています。
コーポレート・ガバナンスとは、「企業経営を規律するための仕組み」のことであり、内部統制は企業経営者の経営戦略や事業目的等を組織として機能させ達成していくための仕組みです。内部統制の仕組みとして、「企業理念・行動規範等に基づく健全な企業風土の醸成」「法令順守の仕組みの構築」「監査環境の整備」「企業経営に重大な影響を及ぼすリスクの管理」等があります。
つまり、情報セキュリティを企業内に構築運用していく際、自身が被害に遭わない、もし被害に遭った場合でも、被害をできるだけ局限化するという情報セキュリティ対策の大原則に加え、経営者が企業リスク管理の一環として、自らの企業を規律し、社会的責任も踏まえた上で取り組むことが求められます。

情報セキュリティガバナンス内部統制と社会的責任
参照:企業における情報セキュリティガバナンスのあり方に関する研究会報告書(経済産業省)

「情報セキュリティガバナンス」が台頭してきたのは、情報セキュリティ事故がおきると、

  • 企業の存続が脅かされる事態に陥ることが珍しくないこと
  • ひとつの会社のIT事故が社会全体に波及する可能性があること
  • 顧客情報や製品情報などの企業が保有する情報の価値が高まっていること
  • 個人情報保護法等の施行に伴い法令順守が大きな課題となっていること

などが背景にあるからです。情報セキュリティは、好むと好まざるにかかわらず経営課題となってきており、情報セキュリティ対策を行なうということは、もはや自社を守るということだけではなく、企業の社会的責任を果たすという観点からも必要不可欠になってきています。