企業の社会的責任を果たす上で情報セキュリティマネジメントを行なうためには

企業の社会的責任を果たす上で情報セキュリティマネジメントを行なうためには

   さて、第1回から見てきた近年の情報セキュリティ管理に関連する国内外の法制や規格などの動向を以下の3点にまとめる。企業はCSR対策の一環としても以下の動向をよく留意し、対策を検討する必要がある。

基準類の国際的な標準化と国内での規格化

   情報セキュリティ管理のベストプラクティスやISMS（情報セキュリティマネジメントシステム）の要求事項であるBS7799はISO化され、それ を受けて国内でもJIS化（注1）されている。政府調達などで国際的な基準への対応が重要視されてきていることもあり、企業は今後も海外や国内の動向に十 分に注目しておく必要がある。

組織的に統制のとれた情報セキュリティ管理の強化

   社会環境やIT技術の変化に対応し、様々な不正行為や不正行為につながる芽を規制することを目的とした法律の改正や新法の施行が行なわれてきてい る。その枠組みの中では、企業の組織的な情報セキュリティ管理の取り組みを前提としているものが多い（不正アクセス禁止法、不正競争防止法、個人情報保護 法など）。

   言い換えると、組織的に十分な情報セキュリティ管理の取組みを行なっていない場合は、社員の不正行為が発覚した際に、以下のような不利益を被る可能性がある。

組織を超えた対策検討の実施

   近年は、インターネットなどを通じて複数の企業をまたがるネットワークシステムによってeコマースなどがますます盛んになってきている。また、社会的に重要なインフラの障害による業務・サービスの停止や機能低下の社会的影響は日々大きくなってきている。

   このような環境で、内閣府の事業継続ガイドラインにおいては、企業や行政が協調して取り組むことを求めている。また、経済産業省の情報システムの信 頼性向上に関するガイドライン（案）においては、国のシステムインフラ全体を対象として情報システムの重要度分類を実施し、それに基づく対策実施を求めて いる。

   今後企業は自社内に限定された情報セキュリティ対策を実施するにとどまらず、必要に応じて、取引のある企業、行政、地域住民、顧客などのステークホルダーとのコミュニケーションを通じた組織を超えた対策検討の実施がますます求められてくるはずだ。

   次回以降は、これらの法制度や規格の動向をふまえた上で、具体的な情報セキュリティマネジメントの説明を行なう。次回はまずその概要を述べる。