文・高畑 和弥(日立総合計画研究所 知識情報システムグループ 副主任研究員)

 情報セキュリティガバナンスとは、経済産業省が2004年に開催した「企業における情報セキュリティガバナンスのあり方に関する研究会」で提起された概念です。同研究会の定義によると、情報セキュリティガバナンスとは「社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」を意味します。

 かつて情報セキュリティ対策といえば、ウィルス対策やネットワークへの侵入防止などIT部門が対応すべき技術的課題と考えられがちでした。しかし、現在では事業継続管理や内部統制などの経営上の課題とITの結び付きが強まり、経営におけるITの重要性は一段と高まっています。さらに、システム障害や個人情報の漏えいなどIT事故の社会的影響が大きくなっていることなどから、情報セキュリティ対策は組織全体で社会的責任にも配慮しつつ取り組むことが重要となっています。

 情報セキュリティの確保はe-Japan重点計画(2001年発表)の頃から継続的に重点政策として掲げられてきましたが、企業の情報セキュリティへ対策は依然として進展しておらず、多くの企業では対処療法的な対策にとどまっているのが実情でした。「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」では、その原因として以下の3点を指摘しています。

  1. IT 事故発生のリスクが明確でなく、適正な情報セキュリティ投資の判断が困難である
  2. 既存の情報セキュリティへの対策や取り組みの成果が企業価値に直結していない
  3. 事業継続性確保の必要性が十分に認識されていない

 企業が抱えるこれらの問題点を解決し、情報セキュリティガバナンスの確立を促進するために、同研究会は3つのツールを2005年に策定しています。一つめは「情報セキュリティ対策ベンチマーク」。情報セキュリティ対策における自社の相対的な位置を測るためのセルフチェックシートです。ISMS評価基準に基づく評価項目を利用し、個々の評価項目に関して回答企業のレベルと望まれるレベルのギャップを示すとともに、改善のために推奨される取り組みを提示します。二つめは「情報セキュリティ報告書モデル」です。企業が自社の情報セキュリティポリシーやそれを実現する取り組みの状況を開示して評価を得るためのモデルとして策定しました。三つめは「事業継続計画策定ガイドライン」です。IT事故の発生に対応するための事業継続計画を導入するにあたって、その検討項目や事例などを紹介しています。これらのツールを活用することによって、企業は自社の情報セキュリティのレベルを共通の尺度で把握するとともに、技術的な対策にとどまらない、より包括的な情報セキュリティ対策の枠組みを構築することが可能となります。

 なお、同研究会の取り組みは企業を対象にしたものですが、これらのモデルやガイドラインは自治体にとっても参考となります。自治体における情報セキュリティ対策については、総務省が「地方公共団体における情報セキュリティポリシーに関するガイドライン」(最新は2006年9月版)を策定するなど既に様々な取り組みが実施されています。しかし、共通基準に基づいた自組織のセキュリティ対策の相対評価、セキュリティ対策の実施状況の開示、さらに、事業継続性への配慮などの点において、企業向けに推進されている情報セキュリティガバナンスは一歩進んだ内容となっています。自治体のアカウンタビリティを高め、住民がより安心して利用することのできる電子自治体を実現するためにも、情報セキュリティガバナンスの確立は今後、自治体にとっても重要な課題となるでしょう。