IT導入支援

会員限定

有限責任監査法人トーマツ提供コンテンツ

2015年07月30日
 ISMSやCSIRTの機能を有機的に取り込み、情報セキュリティガバナンスを構築せよ

近年、大規模な個人情報漏えい事故が多発しており、企業における情報セキュリティ対策が社会的な関心事項となっている。一方で、2015年6月1日、東京証券取引所が上場企業に対して、コーポレートガバナンスの実現に向けた主要原則となる「コーポレートガバナンス・コード」の適用を開始した。デロイト トーマツ リスクサービス マネジャーの森島直人氏は、個人情報管理のさらなる強化を前提とした上で、「情報セキュリティについても、コーポレートガバナンスの向上が社会的に求められるようになってきている」と指摘、「現在の企業には利害関係者に対する情報開示を意識した情報セキュリティ態勢を構築し、運用していくことが求められている」と強調する。

ガバナンスの中心となるのは“外部統制(=モニタリング)”

photo

デロイト トーマツ リスクサービス
マネジャー
森島 直人 氏

 まず森島氏は、「ガバナンスは3つの構成要素から成っている」と説明する。1つめがコントロール、2つめがマネジメント、3つめがモニタリングだ。

 1つめのコントロールは管理策と呼ばれるもので、業務上してはいけないこと、あるいはしなければならないことを定めた具体的なルールのことだ。次にマネジメントは、たとえばリスクを評価して、ルールの維持管理をしていく仕組みのこと、そしてモニタリングは、組織外の利害関係者が、企業のルール及びその維持管理体制を継続して監視する仕組みのことだ。情報セキュリティの係るガバナンスでは、株主、法人顧客、個人顧客の3者が利害関係者の中心となる。

「ここでいうモニタリングとは、2つめのマネジメントのフェーズにおいて企業内で回すPDCAサイクルのチェックに相当するものではなく、社外の利害関係者が企業をモニタリングしていく、あるいは企業の情報セキュリティ体制に対する要請を発信し、企業がそれをキャッチする関係性のことを指す。ガバナンスにおいては、この“外部統制”が重要な機能で、実は最近ではこのモニタリングの部分を指して、ガバナンスということが多くなってきている」

 現在では経営者が結果責任を問われやすい環境にあり、攻めの経営判断を下すことが非常に難しい状況だ。たとえば収益拡大のために新しい個人情報の収集を伴う事業を開始する場合や、コスト削減のためにクラウドサービスやBYODの導入を検討する場合、情報漏えい時の結果責任追及を想定してやっぱり止めようという話にもなりかねない。

「そこで普段から利害関係者と積極的なリレーションを構築しておくことで、自分たちの情報セキュリティに対する考え方を伝えると同時に、それに対してフィードバックをもらってセキュリティ対策に反映していくことも可能となる。それが企業価値の向上と、有事における企業価値の毀損を低減していくことになり、ひいては経営者を結果責任から守ることにも繋がる。そのためにも利害関係者を巻き込んでいく必要がある」

このページのTOPへ


情報セキュリティにおけるガバナンスの仕組みは、3つの軸で整理する

この続きは会員限定です