経済産業省
文字サイズ変更

企業における情報セキュリティガバナンスのあり方に関する研究会(第1回)-議事要旨

日時:平成16年9月1日(水)10:00~12:00
場所:経済産業省本館 17階 第一特別会議室

出席者

【委員】
  • 伊藤 邦雄 一橋大学 商学部長 《座長代理》
  • 引頭 麻実 大和証券SMBC(株) 事業調査部 部長 シニアコーポレートアナリスト
  • 大木 栄二郎 IBMビジネスコンサルティングサービス(株) チーフ・セキュリティ・オフィサー(CSO)
  • 岡村 久道 弁護士法人英知法律事務所長 弁護士
  • 喜入 博 KPMGビジネスアシュアランス(株) 常勤顧問
  • 黒沼 悦郎 早稲田大学大学院 法務研究科 教授
  • 小林 一彦 (社)電子情報技術産業協会 情報システム部会長(日本電気(株) 取締役常務)
  • 佐藤 淑子 日本インベスター・リレーションズ(IR)協議会 首席研究員
  • 棚橋 康郎 (社)日本経済団体連合会 情報化部会長(新日鉄ソリューションズ(株) 代表取締役会長)
  • 土居 範久 中央大学 理工学部 教授 《座長》
  • 中村 直司 (社)情報サービス産業協会 副会長((株)エヌ・ティ・ティ・データ 代表取締役副社長)
  • 細川 泰秀 (社)日本情報システム・ユーザー協会 専務理事
  • 松尾 明 中央青山監査法人 代表社員 公認会計士
  • 望月 純 (社)日本損害保険協会 情報システム委員会 委員長((株)損害保険ジャパン 執行役員兼事務・IT企画部長)
(以上、五十音順、敬称略)
【オブザーバ】
情報処理推進機構
【経済産業省】
豊田商務情報政策局長、岩田商務情報政策局審議官、羽藤情報政策課長、小林情報処理振興課長 、頓宮情報セキュリティ室長、他

議事概要

  • 豊田商務情報政策局長より挨拶。
  • 事務局より、開催の趣旨説明及び各委員の紹介。
  • 座長の互選を行い、土居委員が座長に決定。
  • 土居座長が伊藤委員を座長代理に指名。
  • 事務局より各資料を説明。説明後、出席者による議論を実施。
  • 議論の概要は以下のとおり。

(対策ベンチマーク/被害想定額の算出方策について)

  • 情報セキュリティ対策のROI(投資効果)の算出は難しい。むしろ、情報セキュリティ対策については、企業の社会貢献であるCSR の一環としてとらえ、自主的、自律的な行動を促していくのが良いのではないか。なお、CSR については、ISO でもガイドライン化の動きが出てきているので、それを視野に入れるべきかどうかも考えておいた方が良い。
  • 対策ベンチマークは最低限やっておくレベルとして捉え、CSRは企業の世の中への貢献というもっと上位のレベルで捉えるという考え方もある。
  • コンプライアンスや内部コントロールについて検討する際には、コンプライアンス、内部統制、社会的責任、取締役責任といったものの間での概念整理を行うことが必要である。また、OECDの提唱しているCulture of Securityという概念も踏まえた検討を行うべきである。
  • 情報セキュリティのCIAで考えると、機密性(Confidentiality)はベンチマークで、可用性(Availability) は事業継続計画でカバーしているとして、完全性(Integrity)についての検討をどうするかも考えるべきである。
  • 企業の合併、統合時の情報セキュリティ・リスクも視野に入れておくべきである。さらに、企業間バリューチェーンのような、インターネットで接続された企業群に対する情報セキュリティのあり方が大きな問題になる点も考慮すべきである。
  • 米国と比較して、我が国では情報漏洩を起こした企業が被害者に対してすぐにお金を払う傾向があるので、これをベースに計算することは慎重に考えるべきである。また、被害額算定に損害賠償を含めるとするならば、現在まで損害賠償の判例は少なく、また事案によって相違が大きいという問題を認識しておくべきである。
  • 個人情報保護対策と共通する部分については、整合性に留意して検討を行うべきである。企業にとって、プライバシーポリシーと情報セキュリティポリシーは類似点が多く、重複感がある。

(情報セキュリティ報告書について)

  • 環境報告書や知的財産報告書とは別に情報セキュリティ報告書を発行する場合、企業の負担が大きくなる懸念がある。企業によっては、サステナビリティ・レポートとして包括的な報告書を発行するところもある。情報セキュリティ報告書の個別の発行にはこだわらず、柔軟に考えるべきである。
  • 企業の社会的責任の観点からの自主的な取組を期待することもあり得るが、外部不経済が存在するのであれば、米国企業改革法にある内部統制の開示義務のような法的手段も検討の範囲に入れるべきである。
  • 情報セキュリティ報告書については、法的な観点からではなく、IR(Investor Relations)の一環として発行するという位置付けがよいと考える。ただし、環境報告書などは IR 担当者がチェックするにとどまっており、こういったものをどのようにして広く利用されるものとするかが課題である。
  • 証券市場における企業の情報セキュリティ対策の評価というと、現状としてはコンプライアンスの一環として見てはいるが、業績が悪いところがいくら情報セキュリティに取り組んでも投資家は評価しない。ただ、事件や事故が発生した企業の対応については市場が関心を示すこともある。
  • 機関投資家は利益優先で開示にはあまり関心がないかもしれないが、最近重要な存在になりつつある個人投資家は関心を持っており、情報セキュリティのリスク開示は意味があるであろう。

(事業継続計画について)

  • 情報セキュリティの範囲を明確にしておくべきである。例えば、不正アクセスや災害に限定するのか、システム障害(ハードウエア)、ソフトウエアのバグや運用ミスまで広げるのかといった点である。
  • ウィルス・不正侵入のような問題、情報管理の問題、システムダウンの問題の3つをそれぞれ等距離において同じ視野で議論することが重要である。
  • ソフトウエアのバグやハードウエアの障害まで対象とするのは大変なので、ウィルス等が原因で事業継続が妨げられるようなケースに限って議論するのが効率的ではないか。

記の議論の後、詳細な検討を行うためのWGの設置が了承され、当該WGでの検討状況については適宜研究会メンバーに報告することとなった。

― 以上 ―

関連リンク

 
 
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.