英知法律事務所の岡村久道弁護士
[画像のクリックで拡大表示]
企業における危機マネジメントの総合展「エンタープライズ・リスク・マネジメント2008」で8月20日,英知法律事務所の岡村久道弁護士が『知らなければ許されない! ITリスクマネジメントの法的対応』と題して講演。情報セキュリティを守るために企業が求められる法的対応策について解説した。
岡村弁護士は最初に,情報セキュリティを構成する要素について「C」「I」「A」の3つが重要であると指摘。このうち「C」とは機密性(Confidentiality),「I」は完全性(Integrity),「A」は可用性(Availability)を指す。岡村氏は「情報を漏洩せず,完全性を維持し,大規模障害を起こさずに使える状態を保つことが情報セキュリティの基本。ただ単に『安心・安全』と言うだけでなく,『C・I・A』の3つを維持することが重要だ」と述べた。
それでは「C・I・A」を維持するために何が求められるのか。岡村弁護士は「内部統制を強化し,リスク・マネジメントの体制を築くことが重要だ」と説く。それには,会社法が定める「会社の業務の適正を確保する体制」を整備する必要がある。具体的には,コンプライアンスの基本方針とリスク管理体制を決めておき,従業員だけでなく委託先まで監督することが求められるという。
岡村弁護士は「セキュリティを守ろうというお題目だけではなく,現場が何をすべきか明確に決めなければならない」と指摘する。過去の個人情報流出事件などを例に挙げて,「セキュリティを守るという意識を全社レベルで共有し,教育・啓発を進める必要がある。問題が起きてからでは内部統制の不備や役員の責任を問われるだけでなく,企業の存続まで危うくなる」と警鐘を鳴らした。
