情報セキュリティガバナンス
情報セキュリティガバナンス(ISG/Infomation security governance)についてのご説明です。
情報セキュリティガバナンス:(ISG/Infomation security governance)
企業が社会的責任(※CSR)やコンプライアンス(法令順守)を果たすために、情報セキュリティ上の観点から内部統制の仕組みを構築・運用すること。
※CSR(corporate social responsibility)
企業の社会的責任。企業を社会の一員とみなし、環境への配慮、雇用の確保、情報開示、社会貢献などが求められる。
かつて、情報セキュリティ対策といえば、ウイルス対策やネットワークの侵入防止といった技術的課題に重点が置かれていました。
しかし、社会生活においてITの活用が急速に拡大する今日では、個人情報漏洩やシステム障害といったIT事故で社会的な問題を引き起こしてしまう可能性を考えねばなりません。
そこで企業の社会的責任(CSR)として、組織全体で情報セキュリティ対策に取り組むことが必要になってきます。
情報セキュリティガバナンスを進展・確立するために、「企業における情報セキュリティガバナンスのあり方に関する研究会」が以下の3つのツールを打ち出しています。
1.情報セキュリティ対策ベンチマーク
情報セキュリティ対策における自社の相対的な位置を図るためのチェックシート。
2.情報セキュリティ報告書モデル
企業が自社の情報セキュリティポリシーやそれを実現する取り組みの状況を開示して評価を得るためのモデル。
3.事業継続計画策定ガイドライン
IT事故の発生に対応するための事業継続計画を導入するにあたって、その検討項目や事例などを紹介している。
(参考:経済産業省「情報セキュリティガバナンス」)
以上のツールを活用することで、企業間において共通の尺度が生まれ、自社の情報セキュリティレベルを認識して内部統制の仕組みを構築・運用していくことができます。
情報セキュリティガバナンスを進めていく上で具体的な例を挙げてみます。
1.日本版SOX法の遵守
日本企業の内部統制の評価・報告・監査を目的とした法律のこと。
2.情報漏洩対策支援
企業が持つ個人情報などを保護するために、あらゆる側面から情報漏洩となる原因の対策をおこなうこと。技術的な問題はもちろんのこと、従業員への徹底が課題となる。
以上2つの例を挙げてみましたが、情報セキュリティ対策を施行していくには企業内において共通の認識を持たせ、部署や個人の責任、役割を明確にすることが大事です。
また、実施状況を観察し評価を与えていくことも継続的に実施していかなければなりません。
