審議会・研究会

1.日時：平成17 年2 月21 日（月）13 ：00 ～15 ：00

2.場所：経済産業省本館 17 階 第 2 特別会議室

3.出席者
【委員】(五十音順、敬称略)
　伊藤邦雄
　　 一橋大学 副学長
　引頭麻実
　　 大和証券SMBC(株)事業調査部 部 長シニアコーポレートアナリスト
　喜入博
　　 KPMG ビジネスアシュアランス(株)常勤顧問
　黒沼 悦 郎
　　 早稲田大学大学院 法務研究科 教 授
　棚橋康郎
　　 (社)日本経済団体連合会情報化部会長
　　（新日鉄ソリューションズ(株)代表取締役会長）
　土居 範久
　　 中 央大学理工学部 教授 《 座長》
　中村 直司
　　 (社)情報サービス産業協会 副会長
　　（(株)エヌ･ティ･ティ･データ 代 表取締役副社長）
　細川 泰秀
　　 (社)日本情報システム・ユーザー協会 専務理事
　松尾 明
　　 中央青山監査法人 代表社員 公認会計士
　望月 純
　　 (社)日本損害保険協会 情報システム委員会委員長
　　((株)損害保険ジャパン 執 行役員 兼 事務・IT企画部長)

【オブザーバ】
　　（独）情報処理推進機構

【経済産業省】
豊田 商務情報政策局長、岩田 大 臣官房審議官、小林 情 報処理振興課長、頓宮 情 報セキュリティ政策室長 他

4.議事概要

○はじめに事務局より研究会報告書（案）を説明し、その後、出席者による議論を実施。

○議論の概要は以下のとおり。
（対策ベンチマークについて）

• 対策ベンチマークにおける情報セキュリティ対策の成熟度の目標として示された「望まれる水準」と、ISMS認証取得水準との関係について、どのように整理しているのか。
  →対策ベンチマークにおけるレベル4 （全社的な実施体制、定期的確認）がISMS 認証取得レベルに相当すると考えた。現段階で望まれる水準をレベル4 以上に設定するのは難しい。

• 対策ベンチマークに基づく企業の情報セキュリティ対策レベルは時間とともに変化し、それに伴って望まれる水準も変化していくものと考えられる。本対策ベンチマークは時系列的な観点が重要。
  →適宜企業の情報セキュリティ対策レベルに関する情報を収集し、それらをもとに望まれる水準を設定することを考えており、望まれる水準が徐々に上昇することを期待している。

• 本対策ベンチマークは相対的な評価であるが、本来ならばどこまで情報セキュリティ対策を行うべきなのか、ということを示した絶対的なものが必要ではないか。また、対策ベンチマークの質問項目中に「適切な」という言葉が多数出てくるが、具体的に何が適切か不明なので、持続的な取組の中で、具体的に実施していくことを示したガイドブック等があると有用である。
  →望まれる水準については、絶対的な水準を示すことは難しく、相対評価にならざるを得ない。なお、実際の対策に関する具体的なアドバイスとして、推奨される取組みに係るポイントを提示するので、それを対策実施の手掛かりとしていただきたい。

• 望まれる水準については、企業に要求される情報セキュリティ水準ごとで考えるのか、業種・業態ごとで考えるのか、どちらにしてもそれぞれに期待される絶対的な対策レベルを研究する必要があるのではないか。

• 社会的影響力と事業構造上の脆弱性という２ つの観点から、企業に要求される情報セキュリティ水準を３ つに分類している部分がわかりにくい。例えば、クリアすべき最低基準は業種ごとに大きく異なると考えられる。したがって、回答企業に対してどういう基準に基づいて、どの分類に入るのかを具体的に説明すべき。
  
  （情報セキュリティ報告書について）

• リスクに対する考え方や、それに対する実際のセキュリティ投資については、企業ごとの違いがあるので、情報セキュリティ報告書においては、企業のリスクへの対応や許容に関する方針を記載するよう求めていくべきではないか。

• 対策ベンチマークでの自己評価の正確さを判断する材料として、年間の障害発生件数等、サービスレベルアグリーメントに相当するような具体的数値を情報セキュリティ報告書に記載してほしい。
  
  （情報セキュリティガバナンスと内部統制について）

• 研究会報告書では、内部統制と情報セキュリティガバナンスとの関係をどのように整理しているのか。情報セキュリティガバナンスは内部統制の重要な要素となるのか、それともそれ以外なのかを整理すべき。
  →現段階では、情報セキュリティガバナンスは内部統制の必須要素であるとは言えないと考えている。研究会報告書での位置付けとしては、企業が情報セキュリティ対策を着実に実施するためには、内部統制のメカニズムが不可欠である、という趣旨を記載した。

• 米国のSarbanes­ Oxley 法（企業改革法）は、財務報告に関する内部統制や監査について規定したものであるが、本研究会における内部統制の対象については、財務報告に関するものだけではないので、企業の財務担当者の混乱を防ぐために、研究会報告書中にその旨を明記した方がよいのではないか。

• 情報セキュリティ報告書を内部統制の中に厳格に位置付けると、情報セキュリティ報告書が内部統制の一部として義務付けされているような誤解をされる可能性があるので、むしろ研究会報告書に記載されているように、自発的な取組によって対策レベルを上げていくのがよい。
  
  （普及方策について）

• 本研究会で検討したツールは、更にブラッシュアップしていくことが重要。特に、対策ベンチマークを継続的に実施するために、企業の対策レベルを定期的に把握できる機関が必要ではないか。

• 現時点ではセキュリティ対策を全く実施していない企業と、適切に実施している企業との間に市場からの評価の差はなく、そのような中で対策ベンチマーク等を調達に適用するにはもう少し時間が必要ではないか。
  →調達では、応札者の信頼性評価指標の一つにセキュリティが掲げられているが、現状では統一的な基準がないため、対策ベンチマークを活用することで、企業の取組状況の差を評価できるようにすることが考えられる。

• 企業が情報セキュリティ報告書を公表してもマーケットからの強い反応を期待することはできないので、説明会の開催など、企業が能動的にＰＲ 活動を行うべき旨を研究会報告書に明記した方がよい。

• 調達基準に対策ベンチマークを導入することについては、自己規律効果のある自己点検が期待されるという可能性と、企業の自己評価が甘くなる、又は虚偽の報告がなされるという可能性がある。調達制度への導入にあたっては、その運用方法について十分に検討すべき。

• 政府調達への適用は、株式市場に対して、情報セキュリティに対するチェックの必要性を啓発する意味で有効である。
  
  （事業継続計画策定ガイドラインについて）

• 企業の規模に応じたガイドライン策定の要望については、ガイドラインに示した個別計画や参考資料を参照の上、取捨選択していただく形で整理した。

• ガイドラインの作成過程では、技術的な課題等限られた議論になりがちであったが、全体における位置付けを踏まえて、幅広い視点でガイドラインをまとめていきたい。
  

以上