ガバナンスの中心となるのは“外部統制(=モニタリング)”
1つめのコントロールは管理策と呼ばれるもので、業務上してはいけないこと、あるいはしなければならないことを定めた具体的なルールのことだ。次にマネジメントは、たとえばリスクを評価して、ルールの維持管理をしていく仕組みのこと、そしてモニタリングは、組織外の利害関係者が、企業のルール及びその維持管理体制を継続して監視する仕組みのことだ。情報セキュリティの係るガバナンスでは、株主、法人顧客、個人顧客の3者が利害関係者の中心となる。
「ここでいうモニタリングとは、2つめのマネジメントのフェーズにおいて企業内で回すPDCAサイクルのチェックに相当するものではなく、社外の利害関係者が企業をモニタリングしていく、あるいは企業の情報セキュリティ体制に対する要請を発信し、企業がそれをキャッチする関係性のことを指す。ガバナンスにおいては、この“外部統制”が重要な機能で、実は最近ではこのモニタリングの部分を指して、ガバナンスということが多くなってきている」
現在では経営者が結果責任を問われやすい環境にあり、攻めの経営判断を下すことが非常に難しい状況だ。たとえば収益拡大のために新しい個人情報の収集を伴う事業を開始する場合や、コスト削減のためにクラウドサービスやBYODの導入を検討する場合、情報漏えい時の結果責任追及を想定してやっぱり止めようという話にもなりかねない。
「そこで普段から利害関係者と積極的なリレーションを構築しておくことで、自分たちの情報セキュリティに対する考え方を伝えると同時に、それに対してフィードバックをもらってセキュリティ対策に反映していくことも可能となる。それが企業価値の向上と、有事における企業価値の毀損を低減していくことになり、ひいては経営者を結果責任から守ることにも繋がる。そのためにも利害関係者を巻き込んでいく必要がある」
情報セキュリティにおけるガバナンスの仕組みは、3つの軸で整理する
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ