情報セキュリティはCSRである：情報セキュリティガバナンスを確立せよ（1）（2/2 ページ）

[大木栄二郎，IBMビジネスコンサルティングサービス チーフ・セキュリティ・ オフィサー]

情報セキュリティ概念と経営課題

　次に、情報セキュリティが企業の外部に与える影響を、もう少し詳しく見てみよう。情報セキュリティの3つの基本要件ごとに、実際に起きている事件・事故を整理することで、経営課題も明らかとなり、外部への影響を把握することができる。

1.機密性

　機密性の面から見ると、個人情報や企業秘密の漏洩などが企業経営にとっての大きな課題である。現在の事業運営は、高度成長期などに比べると格段に複雑な環境におかれている。

　個人情報や営業秘密などの重要情報は、自組織のものだけとは限らない。顧客からお預かりした重要情報のセキュリティ確保が重要な課題であるケースは多い。顧客の顧客からの重要情報を扱うケースもあれば、それらの情報をさらに委託先にゆだねて業務処理をしていただく場合もある。企業が生み出す付加価値の連鎖（バリューチェーン）に沿って重要情報も流れることになり、そこでの関連企業間の事故前提の考え方の整理は、今後の大きな課題である。

2. 可用性

　可用性の面からは、災害や大規模IT障害などが大きな課題である。業務のIT依存度が高まっており、何らかのIT障害が発生した場合、自社のみならず、顧客や取引先などに想定外の大きな影響を与えかねない。最近の証券取引所の処理能力の限界の露呈などは、このあたりの取り組みに対する大きな警鐘と受け止めなければなるまい。

　さらに、高度情報社会は、すべての参加者がネットワークで接続され、それぞれの参加者が一定の責任を負いながらネットワークを運営し利用することになる。したがって、ネットワークの可用性の確保においても、自社の事故や障害の影響が自社内にとどまらず、他社のネットワークや業務にも影響を及ぼしかねない構造にあることを肝に銘じなければならない。

3. 完全性

　完全性の面からは、事業に用いる重要情報を意図的な改竄（ざん）から守ること、さらには財務情報の正確性、整合性の確保などが決定的に重要である。日本版企業改革法などで求められる財務情報の正確性を確保する基礎には、完全性要件を中心とする情報セキュリティの施策が有効に機能していなければならない。情報の完全性が担保できないようでは、市場で投資家の信頼を得ることは難しい。

図2　情報セキュリティ概念と外部に及ぼす影響

　このように、情報セキュリティの3つの要件のいずれも、企業の外部との関係で重要な意味を持っていることを改めて認識しなければならない。

情報セキュリティ対策の本質的な難しさ

　事故前提というとらえ方をしなければならない背景には、さらに、情報セキュリティというテーマそのものが持つ問題の複雑さ、これまでの学問分野の多くにまたがって研究しなければならない学際的広がりがある。

　情報セキュリティの事故撲滅にすでに確立された学説がある訳ではなく、何らかの理論にそって忠実に実行すればよいという簡単なものでもない。急速に発展する情報通信技術にかかわる技術の課題や、古くからある人のモラルや組織運営の課題、あるいは法理論における課題など、これまで別々に発展してきた研究分野の融合を必要とする新しい分野のテーマでもあり、今後の研究成果に期待せざるを得ない側面もある。結果として、企業の中のさまざまな組織、部門が連携して取り組み、改善を積み重ねていかなければならない宿命を抱えている。

　日本が世界最先端のIT国家として、高信頼性社会を実現していくには、政府の施策や学術研究の成果を単に待つのではなく、企業もITを戦略的に活用するとともに、情報そのものが抱えるリスクや、仕組みの複雑化に付随するリスクなどへの対応に真剣に取り組み、それらを通じて社会に貢献するという姿勢を持たなくてはならない。

情報セキュリティで社会的責任を果たすには

　以上で、情報セキュリティの確立が企業の社会的責任の一部としてきわめて重要になってきたことが理解できたと思う。この難しい部分に目をつむり、手を抜くことで、一時的には業務効率を高め、短期的な利益を得ることができるかもしれない。しかし、それでは高度情報社会において継続的な発展を望むことは難しい。経営者にとって眠れない夜をすごすことになりかねない。

　企業の経営者には、この社会的責任にも真っ向から取り組んでいただきたい。では、企業がこの社会的責任を果たすには、何をしなければならないのであろうか。

• 事故前提の考え方を受け入れる
• 合理的な情報セキュリティ対策を行う
• 利害関係者の理解を得る

などが必要であることはこれまでの展開で明らかになった。では具体的に、企業の中で誰が何をやれば、このようなことを実現できるのであろうか、経営者は何を考えなければならないのであろうか、これらが次のテーマである。

　その答えが情報セキュリティガバナンスの確立であることは、読者諸兄はすでにお見通しであろう。次回はその具体策について論じる。

著者紹介

▼著者名　大木 栄二郎（おおき えいじろう）

IBMビジネスコンサルティングサービス チーフ・セキュリティ・ オフィサー。

日本IBMにおけるセキュリティ・コンサルティングの分野を確立、情報セキュリティガバナンスの確立に多くの実績を持つ。情報セキュリティ戦略研究会委員、地方公共団体情報セキュリティ監査調査研究会委員、同WG座長、情報セキュリティ基本問題委員会第1分科会委員、企業におけるセキュリティガバナンス研究会委員、同WG1座長など、政府のセキュリティ関係委員会の委員を歴任。

現在IBMディステングイッシュト・エンジニア、IBMアカデミー会員、セキュリティマネジメント学会常任理事、個人情報保護研究会幹事、情報処理学会会員、ネットワークリスクマネジメント協会幹事、メールマガジン『啓・警・契』 編集長、日本セキュリティ監査協会理事スキル部会長。

著書は「経営戦略としての情報セキュリティ」「経営戦略としての個人情報保護と対策」など。

「情報セキュリティガバナンスを確立せよ」バックナンバー

• 情報セキュリティのガバナンスとマネジメント
• 事業継続管理と情報セキュリティガバナンス
• 自社のセキュリティ対策を他社と比較する
• 情報セキュリティ対策レベルの決め方
• Winny事故で問われる企業の情報管理能力
• 情報セキュリティガバナンスの5力とは
• 情報セキュリティはCSRである