TOP情報セキュリティ> SOX法
CSR
企業の社会的責任に必要な情報セキュリティマネジメント

第2回:情報セキュリティ管理に関連する規格・法制など(後編)
著者:みずほ情報総研   牛尾 浩平   2006/5/31
前のページ  1  2   3  次のページ
SOX法

   SOX法とは米国のSarbanes-Oxley(サーベンス・オクスリー)法のことを指し、エンロン事件をはじめとする米国企業の会計不祥事の続出に対して、米国政府が企業の内部統制強化を目的に2002年7月に成立させた企業改革のための法律である。

   日本国内では、金融庁の企業会計審議会内部統制部会が2005年12月8日に「財務報告に係る内部統制の評価及び監査の基準のあり方について」と題した文書を公開しており、これが日本版SOX法の基となる考え方である。

   なお、SOX法の詳細は「ISMSからみる情報セキュリティ対策」を参考にして欲しい。


事業継続計画策定ガイドライン/事業継続ガイドライン

   事業継続計画策定ガイドラインは、経済産業省の商務情報政策局長の私的研究会「企業における情報セキュリティガバナンスのあり方に関する研究会」の報告書の中で、情報セキュリティガバナンスの実現を促すツールの1つとして2005年3月に公開された。

   IT事故を主に想定した事業継続計画(BCP)の構築を検討する企業に対して、考え方の理解を促すガイドラインである。BCP策定にあたっての具体的な検討項目がフェーズ別(BCP発動フェーズ、業務再開フェーズ、業務回復フェーズ、全面復旧フェーズ)に盛り込まれている。

   事業継続ガイドラインは、2005年8月に内閣府 防災担当 企業評価・業務継続ワーキンググループにより公表された。日本企業に対して事業継続の取り組みの概要および効果を示し、防災のための社会的な意義や取引における重要性の増大や、自社の受けるメリットなどを踏まえて企業が自主的に判断するのを促すものである。論点として、次の内容が盛り込まれている。

民間企業を主な対象とし、サプライチェーンを意識しつつ企業が協調して取り組む必要性・有効性を強調しているが、事業継続計画が実効性あるものとするために、行政側の理解と適切な対応を要求。


情報システムの信頼性向上に関するガイドライン(案)

   情報システムの障害による業務・サービスの停止や機能低下の社会的影響は日々、深刻化してきており、システムの信頼性・安全性向上は喫緊の課題となっていることを背景に、経済産業省より2006年4月4日に公表された。現時点では案の段階であるが、情報システムの重要度を分類した上で(表4)、必須・推奨事項を提示している。

重要インフラ等システム
他に代替することが著しく困難なサービスを提供する事業が形成する国民生活・社会経済活動の基盤であり、その機能が低下又は利用不可能な状態に陥った場合に、我が国の国民生活・社会経済活動に多大の影響を及ぼすおそれが生じるもの、人命に影響を及ぼすもの及びそれに準ずるもの。
企業基幹システム
企業活動の基盤であり、その機能が低下又は利用不可能な状態に陥った場合に、当該企業活動に多大の影響を及ぼすおそれが生じるとともに、相当程度の外部利用者にも影響を及ぼすもの。
その他のシステム
重要インフラ等システム及び企業基幹システム未満の水準のもの。

表4:情報システムの分類

前のページ  1  2   3  次のページ


みずほ情報総研 牛尾 浩平氏
著者プロフィール
みずほ情報総研株式会社  システムコンサルティング部
コンサルタント   牛尾 浩平

2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。

INDEX
第2回:情報セキュリティ管理に関連する規格・法制など(後編)
  情報セキュリティ管理に関連する制度や法律などの動向
SOX法
  企業の社会的責任を果たす上で情報セキュリティマネジメントを行なうためには