情報セキュリティガバナンスの概念

　情報セキュリティガバナンスとは、「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」において、「コーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」と定義されました。
　平成20年6月公開の「産業構造審議会情報セキュリティ基本問題委員会 中間とりまとめ（PDF形式：323ＫＢ）」の中で、「企業経営の主目標は、株主、顧客、取引先、従業員、社会等の利害関係者に対して責任を果たすこと、つまり、「企業価値の向上」及び「社会的責任の遂行」にあり、これを支える重要な取組の一つにリスク管理が位置づけられる。様々なリスクの内、情報資産に係るリスクの管理を狙いとして、情報セキュリティに関わる意識、取組及びそれらに基づく業務活動を組織内に徹底させるための仕組み*を構築・運用することを情報セキュリティガバナンスと位置づける。（*経営者が方針を決定し、組織内の状況をモニタリングする仕組み及び利害関係者に対する開示と利害関係者による評価の仕組みを指す）」と、その概念の一層の明確化を図りました。

　モニタリングは従業員の不正行為を発見するためだけでなく、会社のセキュリティ上の規則が機能していることを確認するために行うものです。安全を確認することで、経営者も従業員も、初めて安心することができます。確認を行わず漠然と安心してしまうことは、すなわち油断です。情報セキュリティガバナンスを企業、企業グループに確立することで、安心して本来業務に取り込むことができます。

　高度にネットワーク化されたIT 社会においては、企業一社のIT事故によるトラブルが社会全体に波及する可能性があります。したがって、企業は、自身の被害の局限化や法令遵守への対応に留まらず、IT社会を構成する一員としての立場からも情報セキュリティ対策に取り組む責務があると考えられます。また、平成15年10月に産業構造審議会情報セキュリティ部会が策定した「情報セキュリティ総合戦略（PDF形式：287KB）」において掲げられているように、こうした取組みを通じて、世界最高水準の「高信頼性社会」の構築を目指していくことが極めて重要です。
　こうした企業の取組みを支えるためには、企業の情報セキュリティに対する努力を企業価値として評価するとともに、そうした取組みを促進していく環境の整備が重要となることから、政府の果たすべき役割は、企業による自主的な情報セキュリティ対策の取組みを促す環境の整備を支援することになります。

　企業が自身の被害の局限化や法令遵守の観点に加え、社会的責任の観点も踏まえた形で情報セキュリティ対策に積極的に取り組むようになるためには、「情報セキュリティに絶対はなく、事故は起こりうるもの」との前提に立ち、対策をその場しのぎの対症療法的対応で済ませるのではなく、自律的・継続的に改善・向上する仕組みを導入することが必要になります。つまり、社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること、すなわち「情報セキュリティガバナンス」の確立が求められることとなります。

　内部統制の仕組みを適用することで、情報セキュリティ対策の自律的・継続的な推進が効率的に実現できると考えられ、具体的には、コーポレート・ガバナンスの整備に合わせて情報セキュリティガバナンスを確立していくというアプローチも考えられますが、情報セキュリティガバナンスの確立を契機として、コーポレート・ガバナンス本格的な整備を促進していくというアプローチもあり得ます。なお、情報セキュリティガバナンスの確立に際しては、ＩＴ事故の影響を懸念するあまり、ＩＴの利便性を犠牲にするのではなく利便性と安全・安心の両立を目指していくことが重要といえます。

　現在、企業経営に関する透明性と健全性が社会的責任として求められておりますが、これからは、財務リスク、労務リスク、法令リスク、情報セキュリティ上のリスク、ＩＴシステム上のリスク等を経営者が常時把握できるように企業のビジネスプロセス全体のリスクマネジメント（ＥＲＭ体制）を通じた安全性を兼ね備えることで更なる企業価値の向上を求めるべきといえます。

　情報セキュリティマネジメントの国際標準はISO/IEC 27001:2005, 27002:2006 として策定されています。 情報セキュリティガバナンスについても「情報セキュリティガバナンス導入ガイダンス」に 示したフレームワークを元にISO/IEC JTC1に国際標準化提案を行いました。 この提案が採択され、SC27 WG1を舞台としてISO/IEC 27014 としての成立を目指しています。