経済産業省
文字サイズ変更

情報セキュリティガバナンス確立事業の経緯

制度的な取組

  • 企業の情報セキュリティに関する制度等
    • 2001年 情報セキュリティマネジメントシステム(ISMS)適合性評価制度」開始 ((財)日本情報処理開発協会(JIPDEC))
    • 2003年 情報セキュリティ監査制度開始(NPO日本セキュリティ監査協会(JASA))
    • 2005年 情報セキュリティ対策ベンチマークのサービス開始((独)日本情報処理推進機構(IPA))
    • 2008年 民間の情報セキュリティ格付機関設立
  • 規定・ガイダンス等
    • 2001年 ISMS国際標準規格 ISO/IEC 17799:2000 に対応したISMS認証基準策定(JIPDEC)
    • 2003年 情報セキュリティ管理基準、監査基準(経済産業省告示)
    • 2005年 情報セキュリティ報告書モデル、事業継続計画(BCP)策定ガイドライン(書籍化)
    • 2006年 財務報告書に係るIT統制ガイダンス (J-SOX対応版)
    • 2008年 情報セキュリティ管理基準、監査基準(改正)、ITサービス継続ガイドライン
    • 2009年 中小企業の情報セキュリティガイドライン(IPA)

2004年度の活動

2004年当時、社会のIT依存度が益々高まっているにも関わらず、企業においてIT 事故発生時の被害を局所化し、 早急な復旧を図るといった事業継続性確保のための取組みに遅れが見られていること鑑み、 これを改善する取組が必要であるという観点と、 同時にコンプライアンスの確保やIT社会の一員としての社会的責任を果たすという観点を合わせ、 情報セキュリティを適正なレベルで確保する構造を企業・社会に実装する政策として、 本事業が創設されました。

同年9月、経済産業省商務情報政策局長の私的研究会の位置づけで 「企業における情報セキュリティガバナンスのあり方に関する研究会(座長:土居 範久 中央大学教授)」を発足し、 その具体的な実現手段について、内部統制や財務報告といった観点にわたり、幅広く精力的な議論を重ね、 2005年3月公開の「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」において、 情報セキュリティガバナンスの必要性、確立に向けた課題についてまとめるとともに、 情報セキュリティ対策ベンチマーク、情報セキュリティ報告書モデル、事業継続計画策定ガイドラインの三つの施策ツールを利用可能としました。

2005年度の活動

「情報セキュリティガバナンス普及促進検討会」を設置し以下の2点を検討対象としました。

  1. (1) 企業における情報セキュリティガバナンスの実装に係る諸課題及び解決策
  2. (2) ステークホルダによる企業評価の視点を含めた、社会全体の意識啓発に向けた方策

2006年度の活動

「情報セキュリティガバナンス研究会」を設置し、策定から2年が経過した3つの施策ツールに関して、 情報セキュリティ対策ベンチマークのJIS Q 27002への対応や、 策定しやすく比較可能な情報セキュリティ報告書モデルの実現など、 改善すべき課題が顕在化しつつあることが指摘されていることから、 これらの課題解決や高度化等の方策について検討する目的で以下の2つのWGを設置しました。

  1. WG1:情報セキュリティ対策ベンチマークに関する検討・見直し
  2. WG2:情報セキュリティ報告書モデルに関する検討・見直し

また、2006年度には、2003年策定の「情報セキュリティ総合戦略」 を引き継ぐ「グローバル情報セキュリティ戦略」が策定されました。 このグローバル情報セキュリティ戦略において情報セキュリティガバナンス確立の必要性が論じられ、具体的な施策の数々が示されています。

2007年度の活動

前述のグローバル情報セキュリティ戦略には、情報セキュリティガバナンス確立促進に向けた数々の施策が示されています。 グローバル情報セキュリティ戦略は三か年の実施を計画しており、2007年度が初年度となります。 戦略に示される各種施策のうち、情報セキュリティガバナンスに係る事業として、以下の各施策を実施することとしました。

  • 情報セキュリティ対策状況に係る情報開示を通じた民間格付けの促進等
  • 企業等の情報セキュリティ対策に係るベストプラクティス事例集等の提供
  • オフショア・アウトソーシングに係る情報セキュリティリスク等の検討
  • 対策の効率化に向けた各種法制度と情報セキュリティ関連基準等の整合性確保

全体の方針策定・検討のため「情報セキュリティガバナンス研究会」を設置し、 情報セキュリティ関連法律上の要求事項検討WGを設置、 ベストプラクティス事例集の作成とオフショア・アウトソーシング情報セキュリティの検討を 委託事業として実施しました。

2008年度の活動

引き続きグローバル情報セキュリティ戦略の施策を実施するため、 以下に示す三つのワーキンググループを設置して、それぞれ、ガイダンス等を策定しました。

  • 各種法律における情報セキュリティ上の要求事項WG
  • 情報システム・情報セキュリティに係る内部統制ガイダンスWG
  • アウトソーシングに関する情報セキュリティ対策ガイドライン策定WG
Check PC! インターネット安全教室
ページ上部へ戻る
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.