審議会・研究会

1. 日時 ：平成１６年１２月８日（水）１０：００～１２：００

2. 場所 ：経済産業省本館１７階 第一特別会議室

3. 出席者：
   引頭 麻実　　大和証券SMBC (株) 事業調査部部長 シニアコーポレートアナリスト
   大木 栄二郎　　IBM ビジネスコンサルティングサービス (株) チーフセキュリティオフィサー (CSO)
   岡村 久道　　弁護士法人 英知法律事務所長 弁護士
   喜入 博　　ＫＰＭＧビジネスアシュアランス(株) 常勤顧問
   黒沼 悦郎　　早稲田大学大学院 法務研究科 教授
   佐藤 淑子　　日本インベスター･リレーションズ (IR) 協議会 主席研究員
   棚橋 康郎　　(社)日本経済団体連合会情報化部会長（新日鉄ソリューションズ(株)代表取締役会長）
   土居 範久　　中央大学理工学部 教授《座長》
   中村 直司　　(社)情報サービス産業協会 副会長（(株)エヌ･ティ･ティ･データ 代表取締役副社長）
   細川 泰秀　　(社)日本情報システム・ユーザー協会 専務理事
   松尾 明　　中央青山監査法人 代表社員 公認会計士
   望月 純　　(社)日本損害保険協会 情報システム委員会委員長((株)損害保険ジャパン 執行役員兼事務・IT企画部長)
   (以上、五十音順、敬称略)
   【オブザーバ】
   情報処理推進機構
   【経済産業省】
   豊田商務情報政策局長、岩田商務情報政策局審議官、小林情報処理振興課長、加藤情報経済課長、頓宮情報セキュリティ政策室長　　他

4. 議事概要：
   ○はじめに事務局よりこれまでの検討過程を説明。その後、各WGの座長より検討状況を説明。
   ○説明後、出席者による議論を実施。
   ○議論の概要は以下のとおり。
   
   (対策ベンチマークについて)
    対策ベンチマークと情報セキュリティ報告書（以下「報告書」という。）のそれぞれの位置付けについて教えてもらいたい。
   →前者は、情報セキュリティ対策を実施していない、あるいは、簡易対策のみ実施している企業を想定しており、セルフチェックツールという位置付けである。他方、後者は、対策がある程度実施できている企業がその取組状況を公表するためのものであり、第三者評価を受けるレベルに到達するまでのツールという位置付けである。
    対策ベンチマークによるセルフチェックの結果から得られる情報セキュリティ対策の適正レベルについて、社会的影響力や事業構造上の脆弱性といった観点から、対象企業が分類されないと、対策ベンチマークを使用しにくいのではないか。
    対策ベンチマークの項目数は、レーダーチャートで比較するのであれば、もう少し減らすべきではないか。
    リスク定量化に関する取組みについてはステークホルダーの意見を聞きながら慎重に検討してほしい。
    コンプライアンスやセキュリティ統制に関しては、グループ経営（連結グループ内とビジネス上密接な関係のあるグループ外企業）の視点についても考慮すべきではないか。
   
   (情報セキュリティ報告書について)
    セキュリティ・ポリシーは多義的である。JIS X 5080でもレベルに応じて用語を変えている。基本方針を指すのか、それともより詳細なものを指すのか、明確化すべきではないか。
    報告書は主に大手企業を対象とするとのことであるが、報告書を任意で作成する中小企業も想定されるので、対策ベンチマークと報告書の対象とする企業が重複することも考えられる。このような観点から、対策ベンチマークと報告書の項目の関係を整理してほしい。
    報告書について、具体的にどのような企業に対してどのような報告を求めているかを示すべき。また、項目案として挙げられる事項をすべて網羅した報告書を開示することが適切かどうか検討してほしい。
    報告書のステークホルダー分析については、報告書の作成・公表によって個人投資家等の期待効果が高まることを示し、経営層に報告書作成の意義を理解してもらう必要がある。
    対策ベンチマークは、対策を実施していない、あるいは、簡易対策のみ実施している企業を想定しており、セルフチェックツールという位置付けということであるが、情報セキュリティ対策レベルの高い企業であっても、対策ベンチマークに関する記載を報告書に盛り込むことも検討してはどうか。
   
   (事業継続計画策定ガイドラインについて)
    事業継続計画（BCP）を策定する必要のある企業の分類につき、さらに検討が必要ではないか。
    大きな会社はBCPの全項目をできるであろうが、中小向けのサブセットとかはあるのか。
   →企業によって必要な項目、不要な項目、深く検討すべき項目などがあろう。ベストプラクティスとして提示する方法もあるが、既にBCPを策定している幾つかの企業の状況を踏まえ、検討していきたい。
    BCPとService Level Agreement（SLA）の関係はどうなるのか。
   →BCPは自社としての対応方法であるのに対し、SLAは２社間での合意である。
    リスクコミュニケーションに関して、情報セキュリティ事故対応では、トップマネージメントと現場の連動が重要である。また、影響の大きい関係者とのコミュニケーションも、BCPを策定する上では重要な要素である。
    関係者とのコミュニケーションについては、個人情報漏えいの場合、被害者への通知、監督官庁への報告、二次被害の防止等の個人情報法保護法のガイドラインをはじめとする既存の法的フレームワークが整いつつあるので、そうしたものを踏まえ検討すべき。
    ガイドラインの位置付けとして、BCPなのかコンティンジェンシープランなのかが明確になっていないのではないか。また、シンプルで役立つBCPにしてもらいたい。
   
   (本研究会の検討成果の実装・普及方策について)
    情報セキュリティ格付けついては慎重に検討すべき。情報セキュリティは、第三者認定や規制という方向ではなく、企業の自主的な取組みを促進し、市場の評価が得られるような仕組みとするべき。
    対策ベンチマークの実装に向けては、そのメリットを経営者に訴求することが最大のポイントである。
    対策ベンチマークの普及策として、規制ではなく、エンカレッジメントという位置付けで、企業規模を勘案しつつ政府調達の要件とすることも一案。ただし、対象とする事業者層への波及効果と対応による負荷のバランスについて、十分に検討する必要はある。
    実際の情報セキュリティ対策への結びつけ方について、具体的な方法を提示してほしい。経済的負担が意外と少ないことを経営者が理解すれば、企業の具体的な取組みが促進されるのではないか。
    情報セキュリティに投資すると、短期的なコストアップを通じた生産性の低下が生じ、情報セキュリティ対策をしない方が相対的には生産性は高くなる傾向にある。したがって、セキュリティ投資を行った企業が有利になるような政策誘導も必要ではないか。
   
   　

― 以上 ―