会社の舵取りを担う経営陣が責任を持って取り組まなければならない活動の1つ、それがリスク管理です。インターネットが普及し、誰もが容易につながる時代になった今、情報資産に関わるリスクを管理することが非常に重要になっています。

そのための施策として必要となるのが、「情報セキュリティガバナンス」です。

その言葉とともに内部統制やコーポレートガバナンスなどという言葉も使われていることから、今一つ情報セキュリティガバナンスとは何かと問われても、答えられない人も多いのではないでしょうか。

そこで本記事ではいまひとつわかりづらい「情報セキュリティガバナンス」の本来の定義について詳しく解説します。

情報セキュリティガバナンスの定義

情報セキュリティガバナンスとは何か。みなさんはこの問いにきちんと答えることができるでしょうか。

情報セキュリティガバナンスとは、「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」(出典:経済産業省ウェブサイト  )において、「社会的責任にも配慮したコーポレートガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」と定義されています。

コーポレートガバナンスとは、企業統治と表されるように、企業経営を規律(管理監督)するための仕組みです。

一方の内部統制とは、企業が経営戦略や経営目標を達成するために、組織として適用されるルールや仕組みです。

つまり情報セキュリティガバナンスは、コーポレートガバナンスの一環として確立されるものであり、その仕組みとして内部統制を適用するという位置づけになります。

同じくコーポレートガバナンスの一環として確立されるものとして、ITガバナンスがあります。ITガバナンスとは、経営戦略に則ったIT戦略の策定、およびITの導入・運用を組織的に管理、統制し、リスクを最適化するための仕組みです。

コーポレートガバナンス、ITガバナンスと情報セキュリティガバナンスの関係

図1-1 コーポレートガバナンス、ITガバナンスと情報セキュリティガバナンスの関係
出典:経済産業省ウェブサイト
(https://www.meti.go.jp/policy/netsecurity/downloadfiles/securty_gov_guidelines.pdf)

情報セキュリティガバナンスとITガバナンスの違いは、上の図をご覧いただければおわかりのように、情報セキュリティガバナンスにはITセキュリティ以外の情報セキュリティの要素が含まれるのに対し、ITガバナンスは情報セキュリティ以外のITの要素が含まるという関係性になります。

2009年6月に発表された経済産業省の「情報セキュリティガバナンス導入ガイド」によると、情報セキュリティガバナンスの概念は、「経営者が方針を決定し、組織内の状況をモニタリングする仕組み及び利害関係者に対する開示と利害関係者による評価の仕組みを構築・運用すること」と、より明確化されています。

情報セキュリティガバナンスのフレームワーク

情報セキュリティガバナンスの確立は、企業のビジネスプロセス全体のリスクマネジメントを通じた安全性の整備というだけではなく、企業価値の向上のためにも欠かすことができないものとなっています。

ではどのようなフレームワークで確立していけばよいのでしょう。

「情報セキュリティガバナンス導入ガイダンス」によると、情報セキュリティガバナンスのフレームワークはITガバナンスとの整合性がとれていることが望ましく、かつ情報セキュリティ活動のフレームワークであるセキュリティマネジメントと整合していることが求められると記されています。

情報セキュリティガバナンスのフレームワーク
図1-1 コーポレートガバナンス、ITガバナンスと情報セキュリティガバナンスの関係
出典:経済産業省ウェブサイト
(https://www.meti.go.jp/policy/netsecurity/downloadfiles/securty_gov_guidelines.pdf)

ではどのようなフレームワークになるのでしょうか。上の図のとおり、情報セキュリティガバナンスのフレームワークは、

  • 方向付け(Direct):経営戦略やリスク管理の観点から目的・目標を決定する
  • モニタリング(Monitor):ガバナンス活動の状況を指標に基づき組織を可視化、PDCAをモニタリングする
  • 評価(Evaluate):ガバナンスや方向付けの結果を評価する
  • 監督(Oversee):プロセスが機能していることを確認する
  • 報告(Report):結果を利害関係者などに提示する

という5つの活動で構成されます。英語の頭文字をとって、DMERサイクルと呼ばれ、こうした活動を企業内に実装していくことで、情報セキュリティガバナンスの確立が実現するのです。

情報セキュリティガバナンスの動向や課題

情報セキュリティガバナンスを構築・運用するにあたり、国際標準としてISO/IEC2701420134月に発行されました(現在、改訂審議中)。
国内規格としては20157月にJIS Q 27014:2015として制定されています。JIS Q 27014は、情報セキュリティガバナンスについての概念および原則に基づくガイダンスであり、この規格を適用することで、組織が情報セキュリティに関連した活動を評価、指示、モニタ及びコミュニケーションできるようになります。

情報セキュリティガバナンスをなぜ、確立しないといけないのでしょうか。20186月、東京証券取引所からコーポレートガバナンス・コードの改訂版が公表されました。それによると、第3章「適切な情報開示と透明性の確保」の基本原則3は次の様な考え方に改訂されています。

上場会社は、会社の財政状態・経営成績等の財務情報や、経営戦略・経営課題、リスクやガバナンスに係る情報等の非財務情報について、法令に基づく開示を適切に行うとともに、法令に基づく開示以外の情報提供にも主体的に取り組むべきである。その際、取締役会は、開示・提供される情報が株主との間で建設的な対話を行う上での基盤となることも踏まえ、そうした情報(とりわけ非財務情報)が、正確で利用者にとって分かりやすく、情報として有用性の高いものとなるようにすべきである

ここで記述されているリスクには、当然、セキュリティに関するリスクも含まれています。

つまりコーポレートガバナンス報告書に、セキュリティリスクに関しても詳細を記載することが望ましいと読み取ることができます。

NTTデータや日本電気、富士通、日立製作所、富士ゼロックスなどの大手IT企業を中心に、自社のセキュリティへの取り組みを詳細に記した情報セキュリティ報告書を開示する企業も増えています。

情報セキュリティガバナンスを確立する上で、今、一番の課題となっているのが、SaaSやPaaS、IaaSなどのクラウドサービスを利用する場合です。

サービスの提供範囲や責任範囲によって、利用者と事業者という形に分かれるので、情報セキュリティガバナンスが複雑化し、確立が難しくなっているからです。

また個人や組織でのクラウドサービスやSNSの利用など、「シャドーIT」の問題も情報セキュリティガバナンス確立の障壁となります。この辺りも社員教育をするなどを含め、きちんと整理する必要があるでしょう。

まとめ

デジタルトランスフォーメーションが叫ばれるなど、今やビジネスにITは欠かせない要素になっています。

企業としての価値を毀損しないためにも、重要になるのが情報セキュリティです。情報セキュリティガバナンスは、コーポレートガバナンスに内包され、そのメカニズムとして内部統制の仕組みが必要になります。

まずは経営者自らがリスク管理の一環として、情報セキュリティに関するリスクを把握すること。そこから一歩が始まるのではないでしょうか。