失礼ながら、それはガバナンスではありません：情シス部門の地位向上（3）（3/4 ページ）

[營田（つくた）茂生，＠IT]

コンプライアンスとITガバナンス

　企業の目的はビジネスを行うことで収益を上げることです。一方で企業が社会の中で存在を許されるためには、（社会の中で）一定の役割を果たすことと、法令を守ることの2点が求められます。これがコンプライアンスです。法令遵守と訳されますが、法律や政令・省令などだけではなく、業界や社会一般のマナー・道徳などの社会的規範も広く含まれます。

　コンプライアンスとITガバナンスの関係ですが、下記に一部列挙したように、企業がITを使って事業を遂行することで、多くの法令

• ルール・基準が関係することが分かります。
• 個人情報保護法
• 金融商品取引法
• 新会社法
• 不正競争防止法
• その他商取引に関係する法律
• 派遣法
• 下請法
• 著作権法
• 電気通信事業法
• 消防法
• 情報セキュリティマネジメントシステム（ISMS）
• プライバシーマーク
• コモンクライテリア（ISO/IEC 15408）

など。

　法令の場合、どれが重要ということはなく、いずれも等しく守らなければいけません。国外で活動する場合には国内法だけでなく、当該国の法令も守る必要が出てきます。そして、ITシステムが法令を守ると同時に、組織・組織の構成員が法令を守る仕組みをITシステムの中に持つということがITガバナンスに求められます。また、不正行為を防止するだけでなく、不正行為が起きたあとのことまで含めて考えましょう（図3）。

図3 不正行為が起きたあとのことまで含めて考えること

　図3の中に出てきた『コンピュータ・フォレンジック』は、「訴訟対応のための解析手段（法的問題の解決を図る手段。コンピュータの状態や過去に発生した事象の証拠保全や不正アクセスの追跡のための解析手段）」です。

• コンピュータの現状把握・調査
• 組織内の報告書として
• 警察への被害届として
• 訴訟（裁判）時の資料として

　リスク・マネジメントやコンプライアンス対応の1つの要素として、コンピュータ・フォレンジックに取り組んでおくべきです。コンピュータ・フォレンジックは、以下の表のように5W1Hで行います。

When	いつ	いつ事象が発生したのか？
Where	どこで	どのコンピュータ？被害範囲は？ 外部への被害は？
Who	誰が	犯人は何者なのか？内部？外部？
What	何を	何が起きているのか？
Why	なぜ、何の目的で	被害は何か？外部へ被害を与えていないか？
How	どのように、どうやって	どうやって入った？侵入経路は？