日時：平成21年6月10日（水曜日）10時30分～12時
場所：経済産業省国際会議室

寺島 実郎（委員長）、池上 徹彦、和泉 法夫、大木 栄二郎、岡村 久道、黒川 博明、志方 俊之、関口 和一、田島 優子、土居 範久、藤山 知彦、細川 泰秀（敬称略）

1. 情報セキュリティガバナンス導入ガイダンス（案）等のパブリックコメントの結果について
2. 情報セキュリティガバナンス導入ガイダンス等の決定について

事務局より、資料11-1、及び資料11-2から資料11-6-2に渡り、パブリックコメントの結果等について説明を行った。
主な意見は以下のとおり。

• 法令の修正が頻繁に行われている。例えば、割賦販売法において、クレジット情報の漏えいの際に情報取扱者に対して罰則が追加されたり、不正競争防止法においても営業秘密部分が改正されるなど、頻繁に法改正がなされるので、「情報セキュリティ関連法令の要求事項集」については常にバージョンアップを続け、最新かつ適正なものにしていく必要がある。
• （新型インフルエンザの近畿地方での混乱をかんがみた上で）より脅威の高い鳥インフルエンザのような大規模災害発生時の事業継続を想定したセキュリティなどについても今後考慮していって欲しい。
• 分かりやすいものができた。これらガバナンス類について、ある企業でシミュレーション実験をやれば面白いのではないか。また、受益者負担ではビジネスとして上手く回らないと思うので、ビジネスとして上手く実施していけるように支援する必要があるのではないか。
• シミュレーションの際には業態や企業規模で分類する必要があるのではないか。
• 当ガイダンス類については満足なものができた。これからガイダンスが効果を持つものとしていくためには、企業がCISOを任命、育成していく取組を後押しするような政策を行って欲しい。監査役が情報セキュリティガバナンスに関しては大きな役割を果たすというのは非常に大きなメッセージ。ガバナンスの考え方を企業が導入していけるための支援をお願いしたい。
• 経営者の視点からこのようなものができたことは非常によいこと。経営者が一番責任を問われる可能性が高いのは不作為の罪であり、大きな責任がある。セキュリティに関しては、IT部門や総務部門の責任と思われがちであったが、そうではなく、企業を経営していく上でのリスクの一つであるとの認識の元にきちんと管理しなければ、経営者が消費者や株主等から不作為を問われることになるということの一つの手がかりができた。今後は、これらをどのように維持していくかが重要。
• 今後は、これらガイダンス類がどれだけ実施されていくかという点が重要になる。情報を開示した上で、他企業が参考にできるよう情報共有することが重要。そのためには、インシデント情報を集約でき、速やかに閲覧できるような枠組み作りが重要になる。また、今回のガイダンス類は、一つの企業のみに勤めるといった伝統的な企業形態を中心に想定したものであるので、近年現れつつある複数組織に就労するといった新しい就業形態にも対応できるものとすることが今後の課題。
• 骨格はよくできているので、今後はこれらを実装していく必要がある。昨年、経済産業省が、IT経営憲章として10の原則を策定したが、企業にとっては非常に分かりやすかった。情報セキュリティガバナンス導入ガイダンスではCISOを設置すること等様々記載されているが、情報セキュリティについても10か条のようなものを作ると普及しやすいのではないか。また、企業の情報セキュリティ管理についても信じられない事件・事故が起きており、CISOと担当管理者の意識の改革がさらに必要。
• いいものができた。国家機関や重要インフラ、防衛産業についても、新規の脅威に備え、情報セキュリティガバナンスを浸透させるため、NSA（米国家安全保障局）のような機関が日本にも必要なのではないかと考える。
• 具体的に記載され、非常によくまとまった。資料中に「見える化」とあるが、格付についてまとめた点はよい。今後は「見える化」を徹底することを実施していって欲しい。
• 全体として分かりやすいものができた。企業グループのセキュリティ問題についても記載がある点も良い。グローバル化加速に関して、デファクトを作るに当たって、先進国だけを相手にするのではなく、中国やインドなどを含めた発展途上国にも目を向ける必要がある。また、様々な分野の格付けがあるが、その正当性については経営者から疑問を示されているものも多い。情報セキュリティの分野についても、格付けがうまく機能するため、背景やニーズ、動向等を継続して点検していくことが必要。
• 被格付企業から格付機関に支払う報酬が高額であるほど高い格付けが得られるといった、公平性に欠ける問題が生じないよう監視していくことが必要。
• 良いものができた。監査は、4万件の実績のうちほとんどが内部監査で、情報セキュリティに関して通じている監査人は少なく、現在育てていっているところである。また、当ガバナンス類は抽象度が高く、具体的な対策にブレークダウンしていないため分かりにくい。よって、今後は大企業向け、中小企業向けのそれぞれにIPAでさらに具体的な、理解しやすいものを作って欲しい。
• 今後、格付は企業価値を判断する基準に発展する可能性があるため、しっかりと運用、定着を図り、フォローしていかなければならない。今回、経営者の問題意識に対して一定の明確な方向性が示せたので、これから定着させていくことが重要。