経済産業省
文字サイズ変更

企業における情報セキュリティガバナンスのあり方に関する研究会(第4回)-議事要旨

日時:平成17年3月25日(金)9:00~11:00
場所:経済産業省本館17階 第一特別会議室

出席者

【委員】
引頭 麻実 大和証券SMBC (株) 事業調査部部長 シニアコーポレートアナリスト
大木 栄二郎 IBM ビジネスコンサルティングサービス (株) チーフセキュリティオフィサー(CSO)
岡村 久道 弁護士法人 英知法律事務所長 弁護士
喜入 博 KPMGビジネスアシュアランス(株) 常勤顧問
黒沼 悦郎 早稲田大学大学院 法務研究科 教授
小林 一彦 (社)電子情報技術産業協会 情報システム部会長 (日本電気(株) 取締役 執行役員常務)
佐藤 淑子 日本インベスター・リレーションズ(IR)協議会 主席研究員
棚橋 康郎 (社)日本経済団体連合会情報化部会長(新日鉄ソリューションズ(株)代表取締役会長)
土居 範久 中央大学理工学部 教授《座長》
中村 直司 (社)情報サービス産業協会 副会長((株)エヌ・ティ・ティ・データ代表取締役副社長)
細川 泰秀 (社)日本情報システム・ユーザー協会 専務理事
松尾 明 中央青山監査法人 代表社員 公認会計士
(以上、五十音順、敬称略)
【オブザーバ】
情報処理推進機構
【経済産業省】
豊田 商務情報政策局長、岩田 大臣官房審議官、加藤 情報経済課長、頓宮 情報セキュリティ政策室長  他

議事概要

  • はじめに事務局より研究会報告書(案)について前回からの修正箇所等を説明。その後、各WGの主査より補足。
  • 説明後、修正箇所について議論。議論の概要は以下のとおり。

(対策ベンチマークについて)

  • 情報漏えい事故の発生時に、情報セキュリティ対策を適正に実施していた企業が、そうでない企業と峻別されるような仕組みが必要。例えば、対策ベンチマークによる自己評価結果を第三者が評価できれば効果的と思われる。
  • 日本が情報セキュリティ分野における世界最先端を目指すのであれば、対策ベンチマークを活用して他の先進国と比較する等、参考データやモデルを用意し、対策が進んでいるのかどうかを把握していくべきではないか。
  • 情報セキュリティ対策の社会全体のレベルを一定のレベルに引き上げることが先決であるということは理解するが、その一方でどこまでやるべきかに関しての絶対的水準の検討も行う必要がある。
  • 施策ツールの普及に関する今後のスケジュールを教えてほしい。実際に取り組む企業にとっては、何をいつまでに、どの程度行えばよいのかという方向性や目標があることが望ましい。
  • 政府が政府調達以外の民間企業の取組みに対して、望ましい水準を定めるべきではない。望ましい水準については、各企業が自主的にその必要性の認識に基づいて設定し、対策を実施することが原則。
    →政府が政府調達において必要と考えられる望ましい水準を示すことによって、各企業においても当該水準を参考にしていただき、企業の自主的な取組みの中で活用されることを期待している。
    →かつて、省エネルギー対策や環境対策は、企業の産業競争力の低下を招くものだと認識されていたが、今では逆に競争力強化・企業価値向上のための対策として、企業において積極的に取り組まれている。情報セキュリティ対策についても、近い将来、現在の環境対策等と同様の位置付けになるものと考えているが、現在はその過渡期にあると言える。この意識のギャップを埋めるため、政府調達における基準として活用しながら、徐々に社会全体での情報セキュリティ対策の実装を加速化させていくことが現実的な方法ではないかと考える。

(情報セキュリティ報告書)

  • 情報セキュリティに完全はないため、一定のリスクを許容した上で合理的な対策をとることが重要である、ということについての理解を世の中に求めていく(コンセンサスを形成していく)必要がある。
  • 情報セキュリティ報告書については、目新しさが失われるとすぐに注目されなくなると思うので、積極的なプロモーション活動が必要。

(事業継続計画(BCP)策定ガイドライン)

  • BCPガイドラインについては、経営者に理解してもらうことが重要。企業の規模や業態、求められるセキュリティレベルに応じた段階的なBCPについては、参考資料における各フェーズでの実施項目や構築事例をもとに、それぞれの組織にあった形で活用していただくということで整理した。

(リスク定量化)

  • リスク定量化のモデル式について、今後具体的なケースに当てはめていった際に、各種の条件設定等を考えなければならないが、そうした応用例を今後検討する予定はあるのか。
    →研究会報告書で示したモデル式については、実際の適用に当たり、適宜改善していく予定。対策ベンチマークにリスク定量化ツールを組み込んで、参考データとして示していきたい。

(普及施策)

  • 今後は研究会報告書に示された施策ツールをいかに普及させるかが重要であり、そのためには関係機関において対策ベンチマークによる企業の対策実施状況に係る情報収集とその結果のフィードバックの仕組みを確実に運用していくことが必要。
  • 関係機関について研究会報告書中に具体的な記述はないが、情報セキュリティ対策の実施を業界や企業において更に促進させるという対策ベンチマーク策定の目的を踏まえれば、その維持・改良を行うのは関係機関ではなく、政府の役割ではないか。
  • 対策ベンチマークを使った企業間取引の実績、業種別の産業動向分析などについて、対策ベンチマークの運営機関のモニタリングを踏まえつつ、経済産業省が国内のセキュリティ対策の実装状況についてフォローアップや調査を行い、社会に対して情報提供することになると望ましい。

(その他)

  • 研究会報告書の内容を経営層に理解してもらうために、数枚程度にまとめたわかりやすい概要資料や、研究会報告書中の専門的な用語に関する注釈が欲しい。
  • 情報セキュリティ対策としての投資額とその効果(リスク低減等)を踏まえ、どの程度の対策実施が推奨されるのかということを整理したガイドラインがあるとよい。
  • 安全なインターネット社会を構築するためには、今後セキュリティ文化の醸成を促す具体的な手立てを検討することが必要。リスクや情報の重要度に応じて合理的な情報セキュリティ対策を行うことのコンセンサスを得ることは、望まれる水準の設定に係る議論と不可分である。
  • 対策ベンチマークの質問項目における「重要な情報資産」に関連して、プログラムやデータの間違いなどの「完全性」の欠落する事象の分類方法(IT事故/障害/事件 等)について、引き続き検討すべき。
  • 企業のIT担当役員からは、不正に持ち出された情報を買った人に対する罰則が弱いことと、携帯端末の持ち出しに関する基準がないことが問題点として挙がっている。個人情報保護法について、各省からガイドラインが公表され、必要以上の対策実施を求められているという過剰感が否めない。
    →個人情報保護法は倫理法であり、該当事業者に対して可能な限り最善の対応を要請している。ガイドラインでは、具体的な措置・事例を記述しているので、参照していただきたい。なお、ガイドラインは適宜見直していくこととしている。

最後に、研究会報告書のとりまとめについては、座長一任として委員の了承を得て、散会。

― 以上 ―

関連リンク

 
 
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.