推奨される取り組み

3 推進体制

設問

経営層を含めた情報セキュリティの推進体制やコンプライアンス(法令順守)の推進体制を整備していますか。

(推進体制を整備するためには、経営層がリーダシップを発揮すること、各担当者の権限と責任を明文化することなどが重要です。また、法令順守のためには、順守すべき法令を正確かつ網羅的に把握することが必要です。)

説明

推進体制を整備するためには、経営層がリーダシップを発揮すること、各部署の活動を調整する組織を整備すること、各担当者の権限と責任を明文化することなどが重要です。また、法令順守のためには、順守すべき法令などを正確かつ網羅的に把握することが必要です。さらに、組織の活動に関する説明責任を果たすため、種々の活動に関する記録を残すと共に、特に法令などによって保存が求められる文書については、記録を適切に保護することが求められます。

対策のポイント

1.組織内の情報セキュリティのあり方を決定したり、各部署の活動を調整したりする組織が整備されているか
2.その組織の責任者は経営層の人間が担当しているか
3.その組織において、情報セキュリティに関する適切な責任や資源配分を検討しているか
4.単独行動による不正行為をけん制するため、職務や権限を適切に分離しているか
5.関係当局や情報セキュリティの専門家との連絡体制を構築しているか
6.事業を遂行する上で順守すべき法令、基準、規制などを網羅的に、かつ正確に把握しているか
7.他者の知的財産権を保護するための手続を定め、それを実践しているか(たとえば、ソフトウェアの不正コピーを予防するための手当てなど)
8.個人情報を保護するために必要な対策を定め、それらを実施しているか
9.不正競争防止法で保護される情報の要件を把握しているか
10.自組織が実施した様々な活動について、それらを記録する仕組みはあるか
11.特に法定の保存文書について、厳格な管理を実施しているか
12.全てのプロジェクトマネジメントにおいて、情報セキュリティに取り組んでいるか

解説

実効的な情報セキュリティ対策の推進には、組織全体としての取組が必要です。そのためには、経営層のリーダシップと各組織のセキュリティ上の責任が明確化されている必要があります。また、企業などの情報セキュリティのあり方を決定する組織や各部署の活動を調整する組織を設置し、監査やコンプライアンスの実践といった役割を持たせることが必要です。

情報セキュリティのあり方を決定する組織の責任者は、経営層の中から任命することが望まれます。なぜなら、情報セキュリティは、その組織の経営方針やビジネスプロセスなどと密接に関わるものだからです。情報セキュリティは、保有する情報資産や業務に不可欠な情報システム、情報セキュリティ上の事故が発生した場合の業務への影響などのファクターを考慮しながら推進すべきであり、そのためには、情報セキュリティ担当の責任者は、情報セキュリティと経営の両方に目配りができる立場にいることが重要です。

情報セキュリティ対策の推進に当たって、情報セキュリティ担当責任者は、まず、必要なリソースを、その組織の情報セキュリティ上のニーズやプライオリティに応じて分配するという役割を担う必要があります。リソースの分配とは具体的には、予算の配分であったり、人的リソースの配分であったりということになります。情報セキュリティ上プライオリティの高い項目にはより多くのスタッフと予算を割り当てて、優先的に実施することになります。さらに、必要に応じて個々の対策を推進する責任者を任命してもよいでしょう。
職務や権限を一人に集中させると不正行為を招きやすい状況に陥ることがあるので、これをけん制するため、職務や権限を適切に分離することが分散させることが重要です。

事業を遂行する上で順守すべき法令、基準、規制などを網羅的に把握しておくことは組織として当然のことですが、情報技術の変化は年々早くなっており、それに伴って、法律や規制が新たに制定される、修正が加えられる頻度も増していくことが予想されます。したがって、事業に関わる法律や規制についての定期的な情報収集とその業務への影響の分析、順守するための取組の徹底が求められています。

情報セキュリティの分野において特にコンプライアンスが求められる法律には、著作権法(ソフトウェアの不正コピーの防止など、知的財産権の侵害防止)、不正競争防止法、個人情報保護法、電子署名法、e-文書法などがあります。これらの法律については、その趣旨を正確に理解して、順守に向けた取組を行うことが必要です。