CIOは情報の格付けを行うべし――企業の情報管理：Weekly Memo（1/2 ページ）

今回は、4月8日に発表された民間企業18社による企業の情報セキュリティ格付け専門会社設立のニュースをもとに、企業の情報管理のあり方について考えてみたい。

[松岡功，ITmedia]

企業の情報セキュリティレベルに関する格付け専門会社

　「世界初」という冠言葉は、実はなかなかニュースでは書けない。発表する側がそう触れ込んだとしても、確かな根拠がないと事実報道ではなくなってしまうからだ。だが、この話はおそらく世界でも例がないだろうし、うまく事が運べばグローバルスタンダード化をも見込める興味深い取り組みだ。

情報セキュリティ格付け専門会社「アイ・エス・レーティング」の株主構成

　その話とは、松下電器産業、富士ゼロックス、富士通、野村総合研究所、格付投資情報センターなど18社が、企業の情報セキュリティレベルに関する格付け専門会社「アイ・エス・レーティング」を5月2日に設立すると発表したことだ。

　4月8日に発表された内容によると、情報セキュリティ格付けとは、企業など組織が取り扱う技術情報や営業機密、個人情報などのセキュリティレベルをランク付けするもので、具体的にはマネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化するという。新会社はこの情報セキュリティ格付けの審査業務のほか、格付けに関連する調査・教育・出版等を事業目的としている。

　新会社では、取引先や業務委託先の情報管理体制を客観的に測りたい企業や顧客からの信頼性を高めたい企業の需要を見込んでおり、依頼内容に応じて1件当たり100万−400万円で評価を受け付けるという。さらに企業単位だけでなく、事業部門単位でも評価を行うとし、従来のマネジメントレベルを評価するISOの国際認証制度（ISO27001）に加え、組織等の情報セキュリティレベルをランク付けする新たな仕組みを提供したいとしている。

中立な立場の“第三者機関”

　新会社の最大のポイントは、業種や企業グループを超えて中立な立場の“第三者機関”であることだ。格付けの中立性を確保するため、大株主は作らず、広く産業界に出資を求めており、実際に業務を開始する7月までには約20社から増資を募る予定だという。これによって、格付けを取得する企業は第三者機関から情報管理体制についてお墨付きを得ることで、信頼度を高めて事業拡大につなげるられるというわけだ。さらに新会社では今後この格付け対象を、政府や自治体にも広げるとともに、国内はもとより広く海外でも格付け基準の採用を働きかけ、グローバルスタンダード化を図っていきたいとしている。

　株主に名を連ねた企業が中心になって昨年7月に研究会を発足させ、事業化を検討してきたというこの話、まずは自社が保有する膨大な情報を適切に管理できるか否かが企業にとって重要な経営課題となっている中で、1つの打開策を示したといえる。こうした格付けは徹底した透明性に基づく公正さが求められるが、そこは第三者機関としての中立性に期待したい。費用負担の程度については異論があるかもしれないが、そこは今後の運用の中でバランスが図られていくだろう。こうした“仕組み作り”において、日本はこれまでグローバルスタンダード化を目指す動きが乏しかっただけに、高い志を持って挑んでもらいたい。

　さらに企業の情報管理という観点から、1つ提案したいことがある。それは情報セキュリティレベルとともに、企業にとっては「情報そのものの格付け」が必要ではないかということだ。筆者がそう考えるようになったのは、ここ最近、幾度か牧野総合法律事務所所長で弁護士の牧野二郎氏の話を聞く機会があったからだ。牧野氏は、「企業の情報管理力でこれから最も問われるのは、必要な情報と不要な情報、重要な情報と重要でない情報をきちんと識別できるかどうかだ。それが情報爆発時代の企業の情報活用の優劣を決めるといってもいい。そのためには企業内の情報を格付けする必要がある」と断言する。