CSRにおける情報セキュリティ
1990年代後半以降の環境問題への関心の高まりと同時に、企業の社会的責任(CSR:Corporate Social Responsibility)にも関心や期待が日本国内でも高まっていった。特に、社団法人経済同友会が2003年3月に『「市場の進化」と社会的責任 経営-企業の信頼構築と持続的な価値創造に向けて』を公表して以来は、大企業を中心に広く社会的責任を果たすための取り組みが積極的に行われるようになっ てきている。
CSRの概念は広く、企業の理念や価値観に応じて重点課題や方針が異なる。また、ステークホルダーの利害や短期・長期の目的の相違などにより、その 共通認識が不明確な場合もある。CSRに関連するテーマとしては、「社会」「環境」「経営戦略」「人権」「事業継続」「コンプライアンス」「リスク管理」 「情報セキュリティ」などがある。本連載では、企業が社会的責任を果たすための情報セキュリティマネジメントに焦点を置き、説明する。
近年の情報セキュリティ管理に関連する法制などの動向
まずは近年の国内外の情報セキュリティ管理に関連する法制などの動向を振り返ってみる。この流れを把握することで、情報セキュリティマネジメントを行なうにあたっての留意すべき点を整理したい。
情報セキュリティ管理の規格や認証制度などの動向
近年の情報セキュリティ管理の規格や認証等の動向を財団法人日本情報処理開発協会(JIPDEC)が提示している(図1)。この図を中心に説明する。
図1:ISO規格及びJIS規格制定等のスケジュール
出所:財団法人 日本情報処理開発協会「ISO/IEC 27001への移行計画」
(画像をクリックすると別ウィンドウに拡大図を表示します)
OECD「情報システムのセキュリティのためのガイドライン」
図1以前の1992年には、OECD(Organization for Economic Co-operation and Development:経済協力開発機構)が「情報システムのセキュリティのためのガイドライン」を制定し、セキュリティの9原則を示した(表1)。
| 1992年のガイドラインの9原則 | 2002年のガイドラインの9原則 |
|---|---|
|
|
参考:総務省「OECD情報セキュリティ・ガイドライン改訂版の公表について」、
情報処理振興事業協会 セキュリティセンター
「情報システム及びネットワークのセキュリティのためのガイドライン」など
これがOECD加盟国の情報セキュリティ対策や国際的な標準化の動きに影響している。また2002年には、インターネットや電子商取引の普及などに ともなってシステムの相互接続が増加していることを踏まえ、ネットワーク化されたシステムをセキュリティの観点から見直しが行なわれた。
関連記事
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
