失礼ながら、それはガバナンスではありません:情シス部門の地位向上(3)(3/4 ページ)
私はITガバナンスという言葉が、中央集権的に「ITガバナンス=企業におけるIT部門の統治」「ITガバナンスの強化=IT部門の権力強化」みたいに使われている例が多いと感じています。しかし、『それはガバナンスじゃないんです』と声を大にして訴えていきたいと思います。(本文より)
コンプライアンスとITガバナンス
企業の目的はビジネスを行うことで収益を上げることです。一方で企業が社会の中で存在を許されるためには、(社会の中で)一定の役割を果たすことと、法令を守ることの2点が求められます。これがコンプライアンスです。法令遵守と訳されますが、法律や政令・省令などだけではなく、業界や社会一般のマナー・道徳などの社会的規範も広く含まれます。
コンプライアンスとITガバナンスの関係ですが、下記に一部列挙したように、企業がITを使って事業を遂行することで、多くの法令
- ルール・基準が関係することが分かります。
- 個人情報保護法
- 金融商品取引法
- 新会社法
- 不正競争防止法
- その他商取引に関係する法律
- 派遣法
- 下請法
- 著作権法
- 電気通信事業法
- 消防法
- 情報セキュリティマネジメントシステム(ISMS)
- プライバシーマーク
- コモンクライテリア(ISO/IEC 15408)
など。
法令の場合、どれが重要ということはなく、いずれも等しく守らなければいけません。国外で活動する場合には国内法だけでなく、当該国の法令も守る必要が出てきます。そして、ITシステムが法令を守ると同時に、組織・組織の構成員が法令を守る仕組みをITシステムの中に持つということがITガバナンスに求められます。また、不正行為を防止するだけでなく、不正行為が起きたあとのことまで含めて考えましょう(図3)。
図3の中に出てきた『コンピュータ・フォレンジック』は、「訴訟対応のための解析手段(法的問題の解決を図る手段。コンピュータの状態や過去に発生した事象の証拠保全や不正アクセスの追跡のための解析手段)」です。
- コンピュータの現状把握・調査
- 組織内の報告書として
- 警察への被害届として
- 訴訟(裁判)時の資料として
リスク・マネジメントやコンプライアンス対応の1つの要素として、コンピュータ・フォレンジックに取り組んでおくべきです。コンピュータ・フォレンジックは、以下の表のように5W1Hで行います。
When | いつ | いつ事象が発生したのか? |
---|---|---|
Where | どこで | どのコンピュータ?被害範囲は? 外部への被害は? |
Who | 誰が | 犯人は何者なのか?内部?外部? |
What | 何を | 何が起きているのか? |
Why | なぜ、何の目的で | 被害は何か?外部へ被害を与えていないか? |
How | どのように、どうやって | どうやって入った?侵入経路は? |
Copyright © ITmedia, Inc. All Rights Reserved.