日時：平成20年2月6日（水曜日）10時～12時
場所：経済産業省本館17階東8第1共用会議室

寺島実郎（委員長）、池上徹彦、和泉法夫、今井秀樹、大木栄二郎、岡村久道、古池進、志方俊之、関口和一、田島優子、藤山知彦、細川泰秀、山口英、山下徹

オブザーバ
関啓一郎（内閣官房）、加藤正康（警察庁）、井上知義（総務省）、河内達哉（総務省）、武田仁己（防衛省）、小森聡（（独）情報処理推進機構）、早貸淳子（JPCERT／コーディネーションセンター）

1. 情報セキュリティガバナンス確立フレームワークについて
2. 実施施策の進捗状況と今後の取組方針について、等

事務局より、資料に基づき情報セキュリティガバナンス確立フレームワークについて説明。委員からの主な意見は以下のとおり。

• 「情報セキュリティガバナンスの概念案（２）」について、企業活動の観点で考えると、事業継続が一番重要であり、情報管理、法令遵守と並列で並ぶことに違和感を感じる。あえて並べる場合は、「情報セキュリティの観点から見た場合」と限定すべきではないか。公開できない情報をどう管理していくのかが事業継続のポイントであり、これを示すガイドラインが出来たら有効。
• 法令遵守に加えて、企業倫理という観点を中小企業も対象に含めて示す必要がある。情報管理については、メールの普及等ライフサイクルの状況を勘案した上で具体的な内容を検討していくべき。また、事業継続を法令遵守、情報管理と並列に並べることが適当かは検討が必要。企業のグローバル化に伴い、オフショアアウトソーシングの観点だけではなく、100％出資の現地法人の統制についても検討すべき。
• 企業が提供しているシステムの脆弱性とその被害がもたらすものへの管理が十分出来ているのか。一企業による対応は困難であり、企業間において最新動向などの情報共有ができる体制の構築が必要ではないか。また、学会等専門家と企業との間には最新技術について情報量の差が大きいため、最先端の技術を理解し、それを企業に説明できる人材の育成も必要。
• 情報セキュリティガバナンスにおけるリスク管理と企業全体でのリスク管理との関係を明確にする必要がある。「情報セキュリティガバナンスの概念案（２）」のリスク管理の3つの切り口である法令遵守、情報管理、事業継続の順番に若干違和感を感じる。
• リスク対応には、任意で行うものと法令によって強制されるものがある。法令遵守を確実に果たすためには内部統制システムの構築が必要であり、その具体的な方法を示すものとしてガイドライン等が存在する。このガイドライン等は法の要求事項を満たした上で作成されるのが大前提である。情報管理という観点で見た場合、情報セキュリティ対策はあくまでもツールであり、目指すべきものは企業価値の向上である。情報には、機密情報等プラスの情報だけではなく、漏洩によって損害をもたらしうる個人情報等のマイナスの情報もあり、情報セキュリティ対策を行う目的を明確化した方が経営層の理解を得やすいのではないか。
• 企業として行っている情報セキュリティ対策が、「適法」か「適正」かという問題がある。法に違反しない最低限の対策が「適法」であり、企業としては「適法」より上位の「適正」レベルを目指していく必要がある。
• 現在の社会をみると、「文明」が「文化」を追い越してしまっている。この追い越されたテクノロジーを是正するのがガバナンスの考え方である。従来、日本における危機管理は自然災害など悪意のないものからの事業継続の確保という視点だったが、今後は悪意のあるものからの攻撃にどう対応をすべきかを検討する必要がある。また、身の丈以上の対応を無理にやっているのではないかと思う。
• 情報セキュリティ対策には、コストの問題が発生する。「情報セキュリティガバナンスの概念案（２）」の図とコスト管理の関係はどうなっているのか。リスク管理には、時間軸という考え方が重要であり、問題が起こった時と何も起こっていない時とで法令遵守、情報管理、事業継続の重要性が変わっていく。
• 企業活動では、やはり法令遵守が重要である。法令ごとに様々な要求事項があり、一個人、一企業でその全てを網羅的に把握し、対応することは困難であるため、要求事項を整理したガイダンスは非常に有効である。法令は社会環境に対応すべく改正が行われるため、一度作って終了ではなく、定期的にアップデートをしていくことが重要。
• 「情報セキュリティ・情報システムの内部統制ガイダンスの位置づけ」について、企業価値とリスク管理を最上位概念と考えるのは数年前の考えである。法令遵守が最重要課題であり、個々の要素の位置取りについては疑問。ガバナンス、マネジメントという考え方よりも企業の社会的責任を果たす意味という根本に立ち返った検討が必要。グループ統制の論点が取り入れられているが、連結の問題にもう一歩踏み込んで検討すべき。グローバルな取引の進展に伴い、情報セキュリティ対策を要求したりされたりすることが多くなっており、デファクトの争いが起こっている。現在検討している情報セキュリティ格付けの内容について、この場でも議論が必要ではないか。
• グループ内の子会社の責任は親会社にまで波及するが、それは全てお客の要望に応えるという観点から要求されているのではないか。「情報セキュリティガバナンスの概念案（２）」について、株主が企業価値の向上に向けて「監視」ではなく「お客の要望」であり、利害関係者からの「評価」ではなく「お客の要望」であるべきであり、全ては顧客の要望に応えるためという考えが重要。また、海外発も含めてスパムメール対応をしてほしい。
• 情報セキュリティ対策を実施する側は、何をすればいいのかがまとまった単一の分かり易いリスク管理手法を求めているが、実際は個々の要求事項やフレームワークへの対応に企業は疲弊している。企業がかかえるリスクには様々なものがあるため、情報セキュリティのみを取り出して議論することに違和感を感じる。情報セキュリティ対策の重要性は分かるが、なかなか実施に移れない企業が多いため、実施することのインセンティブを与えて積極的に行わせることを考えていくべき。
• 資料を経営者の視点で見た場合に違和感を感じている。ITを使った法令遵守をどうするかということとIT自体の法令遵守をどうすべきかとの関係を整理して欲しい。事業継続をするには、柔軟な対応が必要であり、非常時におけるルールの緩和についても検討するとより実用的ではないか。
• 企業のステークホルダーには取引先、顧客、社会に加えて従業員も重要な要素であり、それぞれの位置付けを意識した上で21世紀の企業経営のあり方を考えていくことが必要。上場企業にとって東京証券取引所（東証）のルールにそった情報開示等が重要であるため本委員会での議論が東証のルールと乖離が生じないように配慮する必要がある。また、中小企業が行うべくミニマムの情報セキュリティ対策の行動目標の設定についても重要。
• 「情報セキュリティガバナンスの概念案（２）」の図について、組織によってそれぞれの要素の位置づけは異なるものであり、一度整理が必要ではないか。また、最高情報責任者（CIO）の活用についても図の中に反映してほしい。
• 法令遵守を行うことによる企業価値の全体の底上げには、経営層のみではなく従業員層の意識改革が必要。ユーザーは「適正」な情報セキュリティ対策を求めており「適法」レベルで満足していてはいけない。
• グループの健全な発展には本社の統制が十分利いているだけでは足りず、支店における統制についても実効性を確保していく必要がある。
• 非常時における事業継続の視点と処理に適正な手続を要するというITシステムの硬直性を勘案した上でガイダンスの検討をしないとむしろ硬直性を固めるツールとなってしまう。また、結託した悪意に対してどのようにシステム統制していくかという議論もガバナンスの観点からは必要。
• リスク管理の一番の目的が法令遵守と考える場合、企業の情報セキュリティ対策が「適法」止まりになってしまう危険性がある。また、議論の対象とする法令遵守の範囲についても整理が必要。
• 内部統制システムの一番の弱点は経営者の結託による不法行為であり、これを回避する手段として外部統制が重要になってくる。内部統制の中でも、ITや情報に関しては特有の問題があるということを強調する必要がある。
• 情報セキュリティの確立を促す市場メカニズムの整備は重要である。情報セキュリティ対策において投資対効果が得られるような合理的な枠組みが必要。
• 内部統制システムは重要であり、報告書の作成という見せかけの対応ではなく、外部チェックを利用し、より実効性をもった取組が必要。また、中小企業でも対応可能な枠組みについても検討が必要。
• 情報セキュリティリスクを回避する際、技術をもって回避可能なものは多少の費用を要したとしても利用すべきであり、技術をつかわず運用でカバーしようとする方がかえって費用がかさむ場合がある。

• 情報セキュリティ基本問題委員会