近年の情報技術(IT)の飛躍的な発展に伴い、ITを基盤とした情報の利活用は企業における競争力の源泉となっており、その重要性・果たすべき役割は日に日に増大しています。ITが企業の基盤として普及・浸透するほど、安全にITを利活用するための情報セキュリティの確保の必要性・重要性も高まります。また、日本においては、個人情報保護法に基づく義務の履行やサプライチェーン維持に向けた事業継続等、法令順守や社会的な要請により、情報セキュリティの確保は企業が果たすべき社会的責任という側面も併せ持つようになってきています。
こうした中、企業の事業基盤の安定的な確立を図り、ひいては企業価値の向上を図るために、自社が保有する情報の価値を正しく認識し、リスク管理の一環として、経営者がリーダーシップを持って戦略的に情報セキュリティ対策を推進すること、すなわち「情報セキュリティガバナンス」の確立は経営戦略上、最重要事項の一つです。そして、自社のみならず、アウトソーシング先などのサプライチェーン全体や社会全体にも目を向けた情報セキュリティガバナンスの確立が求められています。
平成21年2月には、我が国の情報セキュリティ問題の根幹に関する事項を決定する「情報セキュリティ政策会議」(議長:内閣官房長官)において、今後3年間の情報セキュリティ問題に関する我が国全体の基本戦略を示した「第2次情報セキュリティ基本計画」を決定いたしました。その中で「情報セキュリティガバナンス」を経営の一環として位置づけることは、企業における情報セキュリティの最重要事項とされています。
産業構造審議会情報セキュリティ基本問題委員会は、このたび、企業の経営陣が責任とリーダーシップを持って情報セキュリティ対策を実施するための方策に関して「情報セキュリティガバナンス導入ガイダンス」等を取りまとめました。このような「情報セキュリティガバナンス」の確立を経営戦略に位置づけることは、世界的な潮流となりつつあります。我が国はこの国際標準化について先導的な取組をしているところです。そして、経済産業省は、関係機関等と連携しつつ、我が国企業に情報セキュリティガバナンスの確立を幅広く促進すべく取り組んでいます。
この一環として、新時代の企業に必要な情報セキュリティガバナンスの確立について、経営者の立場から、政府がこれまで取りまとめてきたガイダンス類を編纂し、一冊にしました。以下に、本書に掲載したガイダンス等の位置づけ等を述べます。
(1)「情報セキュリティガバナンス導入ガイダンス」 (平成21年6月)
企業システムのIT化が進展するにつれ、情報漏えいや不正アクセスといった情報セキュリティ対策に関する問題がクローズアップされるようになってきています。情報セキュリティ対策は、企業のリソースが限られているために、すべての情報を最高レベルのセキュリティ対策の下に置くことは非現実的です。このため、情報資産ごとに、企業経営的な見地からリスク判断を行い、そのリスクに見合った対策を行うことが重要です。しかしながら、必要な時に経営層の方針が見えない、企業の現場において講じられている事故を未然に防ぐための情報セキュリティ対策の効果が見え難いといった問題が指摘されています。このため、経営層と現場の管理層との間のギャップを埋め、適正な情報セキュリティガバナンスを確立するために、経営陣が行うべき役割と、情報セキュリティガバナンスの効果について提示したものです。企業の情報セキュリティ管理の仕組みについては、国際標準である情報セキュリティマネジメントシステムがありますが、このガイダンスは、これを補完する意味で策定されています。
(2)「アウトソーシング・セキュリティ対策ガイダンス」(平成21年6月)
情報セキュリティ対策を実施するにあたり、自組織内の情報セキュリティガバナンスは、自ら、体制と仕組みを構築し、実施状況を把握した上で改善していくことができます。しかし、企業は、関連企業、外注先など、様々な組織と情報資産を共有・利活用して活動をしています。企業のアウトソーシング先における情報セキュリティ対策が不十分であった結果、自社の経営に影響が及ぶ可能性は払拭されません。このため、アウトソーシングを検討するにあたっては、情報セキュリティの観点からのリスク・マネジメントは重要です。本ガイダンスは、企業がアウトソーシングを検討、実施する際に対応を検討すべきリスクの提示及びアウトソーシング先に求める対策等、事前検討項目、及び、その実施方策等を提示したものです。
(3)「ITサービス継続ガイドライン」(平成20年9月)
今日の企業は、サプライチェーン、日々の業務処理などにおいて、ITに非常に高く依存しています。こうした企業活動において、情報資産を必要なときに使えることは企業活動において必須となっています。したがって、組織におけるITを利用できること、すなわちITサービスの継続は重要です。本ガイドラインは、ITサービスの企画、開発等に携わる担当者等が事業継続マネジメント(BCM)に必要なITサービス継続を確実にするための枠組みと具体的な実施策を提示したものです。
(4)「情報セキュリティ報告書モデル」(平成19年8月)
企業の情報セキュリティの取組の中でも社会的関心の高いものについて情報開示をすることで、企業の取組が顧客や投資家などから適正に評価されることを目指す「情報セキュリティ報告書」のモデルを提示したものです。情報セキュリティガバナンスを確立し、実施していくと、その活動を利害関係者に説明していくことが必要となりますが、本モデルはその一助となると考えます。
(5)「産業構造審議会情報セキュリティ基本問題委員会中間とりまとめ」(平成20年6月)
本中間とりまとめは、情報セキュリティガバナンスの確立の必要性、これからの企業戦略における情報セキュリティガバナンスの方向性、さらに、企業の経営者が情報セキュリティガバナンス確立のために考慮すべき事項とそれを支援するために必要な施策の提言をしたものです。企業における情報セキュリティガバナンス確立の必要性を理解するのに資する文書であることから、参考資料として本書に収録しました。
(6)「情報セキュリティ格付を実施する各種機関の運営に関する一般要求事項」(平成21年6月)
情報セキュリティガバナンスを確立し、実施している企業が、適正に、利害関係者から評価される仕組みが存在することが重要です。その一つとして、情報セキュリティ格付けが考えられます。本ドキュメントは、情報セキュリティ格付が市場からの適正・公平な評価を得るために民間格付機関が満たすべき事項を提示したものです。企業における情報セキュリティガバナンスの確立にあたってのガイダンスではありませんが、企業の取り組みが適正に評価されるための環境整備に関する文書であり、今般、情報セキュリティ基本問題委員会において策定された文書であることから、参考資料として本書に収録しました。
是非ご一読ください。
