第2回：情報セキュリティガバナンスを確立させるための3つの施策ツール (2/3)

情報セキュリティガバナンスのあり方

第２回：情報セキュリティガバナンスを確立させるための3つの施策ツール
著者：経済産業省成田裕幸 2005/11/30

企業分類

   企業分類に際しては、「事業構造上の脆弱性」と「社会的影響力」に基づき企業群を分類している。

   「事業構造上の脆弱性」とは、自社の情報資産がさらされている事業構造上の脆弱性の高さを意味するものである。

   「社会的影響力」とは、IT事故が発生した場合に企業価値や社会に与える影響度の高さを意味するものである。

   具体的には、「事業構造上の脆弱性」と「社会的影響力」の2つを分類軸として、回答者の企業プロフィールの内容からセキュリティ水準の値を算出する。

   いずれの値も高い層を「高水準のセキュリティレベルが要求される層」、いずれかの値が高い層を「相応の水準のセキュリティレベルが望まれる層」、いずれの値も低い層を「情報セキュリティ対策が喫緊の課題でない層」の3グループに分類している（図1）。

図1：要求される情報セキュリティの水準に基づく分類
（画像をクリックすると別ウィンドウに拡大図を表示します）

位置づけ

   情報セキュリティ対策ベンチマークの目的として、情報セキュリティ対策を実施していない、あるいは簡易な対策しか行っていない企業に対して、セルフチェックを通じて情報セキュリティの取り組みを活性化させることを想定している。こういった企業は、中堅・中小企業が中心になると考えられる。

   このため中堅・中小企業における利活用を促進すべく、可能な限り評価項目の数を抑えている。なおアンケート結果によれば、大企業にも一部取り組みが十分でない項目があることが判明していることから、中堅・中小企業のみならず大企業においても情報セキュリティ対策ベンチマークを活用することは有効である。

   また、第三者認証制度をはじめとする高次のレベルを目指して向上していくことも重要であることから、ISMS適合性評価制度や情報セキュリティ監査との整合に配慮し、情報セキュリティ対策ベンチマークの評価項目はISMS認証基準をベースに構成している。

   なお、IPA（独立行政法人情報処理推進機構）のホームページ内では、質問への回答を入力するだけで自動的に情報セキュリティ対策ベンチマークの結果が得られるシステムが公開されている。是非とも一度利用していただきたい。

情報セキュリティ対策ベンチマーク
http://www.ipa.go.jp/security/benchmark/index.html

なお、情報セキュリティガバナンスの確立という観点からすれば、経営層の担当責任者にも情報セキュリティ対策ベンチマークを利用していただくことが望ましい。このため、情報セキュリティベンチマークでは、質問の際に専門用語の使用を抑えるよう配慮を行っている。また、経営の観点から情報セキュリティ対策を捉えられるよう、単に対策を「行っている／行っていない」ではなく、ガバナンスの観点から見た対策の取り組み方（成熟度）を評価の基準としている。

情報セキュリティ報告書モデル

   IT事故が企業の事業存続すら脅かすリスクとなりつつある中、企業の顧客や投資家などは、IT事故に関するリスクに今後一層高い関心を示すものと考えられる。

   情報セキュリティ報告書は、企業の情報セキュリティの取り組みの中でも社会的関心の高いものについて情報開示することにより、企業の取り組みが顧客や投資家などのステークホルダーから適正に評価されることを目指すものである。

   経済産業省の情報セキュリティ報告書モデルでは、表3のような記載項目を定めている。実際の報告書の作成に当たっては、自社の目的や事情により記載項目や内容のレベルを選択することができる。

1.基礎情報: 報告書の発行目的、利用上の注意、対象期間、責任部署など
2.経営者の情報セキュリティに関する考え方: 企業の情報セキュリティに関する取り組み方針、対象範囲対象範囲、報告書におけるステークホルダーの位置づけ、ステークホルダーに対するメッセージなど
3.情報セキュリティガバナンス: 情報セキュリティマネジメント体制（責任の所在、組織体制、コンプライアンスなど）、情報セキュリティに関わるリスク、情報セキュリティ戦略など
4.情報セキュリティ対策の計画、目標: アクションプラン、数値目標など
5.情報セキュリティ対策の実績、評価: 計画に対する実績、評価、事故報告など
6.情報セキュリティに係る主要注力テーマ: 個人情報保護や事業継続計画など特に強調したい取り組み、テーマの紹介など
7.第三者評価・認証: ISMS適合性評価制度、情報セキュリティ監査、プライバシーマーク制度など

表3：情報セキュリティ報告書モデルの記載項目

   主な商品やサービスが「IT」や「セキュリティ」に関連する企業およびアンケートや各種調査により収集した個人・企業のデータなどを事業に使用する企業にとっては、自社のセキュリティレベルの高さを対外的にアピールすることは、顧客からの信頼や支持の獲得につながる。

   一方で、事業に影響するIT関連のリスクが小さい企業については、そのこと自体を対外的に説明することによりも、株主や取引先企業への説明責任を遂行するという目的で情報開示を行うという考え方もある。

   このような点を踏まえ「企業における情報セキュリティガバナンスのあり方についての研究会報告書」では、情報セキュリティ報告書について表4のように結論づけている。

記載項目の選択や記載内容のレベルは、企業が自社の事情に応じて選択可能とする
情報開示の方法については、企業が自社の事情に応じて選択可能とする
情報開示の方法については、CSR報告書などの一部として組み込むことも、単体の報告書として公表することも可能とする

表4：情報セキュリティ報告書の記載内容

前のページ 1 2 3 次のページ

著者プロフィール
経済産業省成田裕幸
経済産業省商務情報政策局情報セキュリティ政策室企画係長
平成13年に経済産業省に入省。貿易経済協力局通商金融・経済協力課に配属。その後資源エネルギー庁資源・燃料部石油・天然ガス課勤務を経て、平成17年6月より現職。商務情報政策局情報セキュリティ政策室では、主に情報セキュリティガバナンスの普及などを担当。

INDEX
第2回：情報セキュリティガバナンスを確立させるための3つの施策ツール
	はじめに
	企業分類
	事業継続計画（BCP）策定ガイドライン