TOP
>
情報セキュリティ
> 企業の社会的責任を果たす上で情報セキュリティマネジメントを行なうためには
企業の社会的責任に必要な情報セキュリティマネジメント
第2回:情報セキュリティ管理に関連する規格・法制など(後編)
著者:
みずほ情報総研 牛尾 浩平
2006/5/31
前のページ
1
2
3
企業の社会的責任を果たす上で情報セキュリティマネジメントを行なうためには
さて、第1回から見てきた近年の情報セキュリティ管理に関連する国内外の法制や規格などの動向を以下の3点にまとめる。企業はCSR対策の一環としても以下の動向をよく留意し、対策を検討する必要がある。
基準類の国際的な標準化と国内での規格化
情報セキュリティ管理のベストプラクティスやISMS(情報セキュリティマネジメントシステム)の要求事項であるBS7799はISO化され、それを受けて国内でもJIS化(注1)されている。政府調達などで国際的な基準への対応が重要視されてきていることもあり、企業は今後も海外や国内の動向に十分に注目しておく必要がある。
※注1:
JIS X 5080(2002年制定)、JIS Q 27000シリーズ(「JIS Q 27001:2006」および「JIS Q 27002:2006」は2006年5月20日に制定予定)
組織的に統制のとれた情報セキュリティ管理の強化
社会環境やIT技術の変化に対応し、様々な不正行為や不正行為につながる芽を規制することを目的とした法律の改正や新法の施行が行なわれてきている。その枠組みの中では、企業の組織的な情報セキュリティ管理の取り組みを前提としているものが多い(不正アクセス禁止法、不正競争防止法、個人情報保護法など)。
言い換えると、組織的に十分な情報セキュリティ管理の取組みを行なっていない場合は、社員の不正行為が発覚した際に、以下のような不利益を被る可能性がある。
企業の管理不備を追及され、信用の失墜や顧客の減少などに繋がる
不正の手段で営業秘密を使用・開示した元従業員が属する法人(競合他社など)に対する損害賠償責任を科することができない
表5:情報セキュリティ管理の取り組みを行なっていない企業の被る不利益の例
組織を超えた対策検討の実施
近年は、インターネットなどを通じて複数の企業をまたがるネットワークシステムによってeコマースなどがますます盛んになってきている。また、社会的に重要なインフラの障害による業務・サービスの停止や機能低下の社会的影響は日々大きくなってきている。
このような環境で、内閣府の事業継続ガイドラインにおいては、企業や行政が協調して取り組むことを求めている。また、経済産業省の情報システムの信頼性向上に関するガイドライン(案)においては、国のシステムインフラ全体を対象として情報システムの重要度分類を実施し、それに基づく対策実施を求めている。
今後企業は自社内に限定された情報セキュリティ対策を実施するにとどまらず、必要に応じて、取引のある企業、行政、地域住民、顧客などのステークホルダーとのコミュニケーションを通じた組織を超えた対策検討の実施がますます求められてくるはずだ。
次回以降は、これらの法制度や規格の動向をふまえた上で、具体的な情報セキュリティマネジメントの説明を行なう。次回はまずその概要を述べる。
前のページ
1
2
3
著者プロフィール
みずほ情報総研株式会社 システムコンサルティング部
コンサルタント 牛尾 浩平
2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。
INDEX
第2回:情報セキュリティ管理に関連する規格・法制など(後編)
情報セキュリティ管理に関連する制度や法律などの動向
SOX法
企業の社会的責任を果たす上で情報セキュリティマネジメントを行なうためには