[画像のクリックで拡大表示]
[画像のクリックで拡大表示]
[画像のクリックで拡大表示]
[画像のクリックで拡大表示]

企業の緊急課題である「内部統制の確立」。業務の可視化からリスク分析、組織体制の整備、セキュリティの確保など、実現しなければならない事柄は数多い。その実践企業を紹介していく。今回は、KDDIグループのセキュリティ統制を取り上げる。

 「以前は、場当たり的なセキュリティ対策をしている関連会社もあった。そこで何かが起きれば、グループ全体の信用にかかわる」(KDDI セキュリティ技術部企画推進グループリーダーの後藤直樹次長)―。情報漏洩を防ぐための内部統制の確立は、自社だけの問題ではない。この6月中にも、グループ会社49社において情報セキュリティに対する内部統制の確立を完了させるKDDIは、まさに、その課題に取り組んできた。

 KDDI自身は、個人情報保護法の施行に合わせて昨年4月までに、主要なデータセンターなどでISMS(情報セキュリティマネジメントシステム)の認定を取得してきた。次の段階として目指したのは、国内関連会社と海外現地法人の計49社に対し、情報漏洩を防ぐためのマネジメント・サイクル(PDCAサイクル)を定着させることだった。

 「重要なのは、各社が自発的に取り組むこと。そのためには明確な目標があった方がいい」(後藤次長)と考えたKDDIは、認定取得を掲げることにした。しかし自社の経験から、ISMSの認定取得には1社当たり数十人月の作業が必要となる。規模の小さなグループ会社では、それだけの工数をかけることは難しい。そこで、ISMSを簡略化した独自の「KDDI情報セキュリティ認定制度」を策定。KDDIがグループ各社を審査することにした。

 この制度では、社内のあらゆる情報資産を識別・管理するISMSと比べ、管理対象を「漏洩してはいけない個人情報や機密情報」に限定する。これによって、認定を取得するまでの作業量が3分の1程度で済む。「できるだけ早くPDCAサイクルを定着させることが重要。管理対象の拡大は、その後でいいと考えた」(後藤次長)のである。

関連会社の7割弱が「要改善」

図1●統制対象と統制のポイント[画像のクリックで拡大表示]
図1●統制対象と統制のポイント

 独自の認定制度を実施するに当たりKDDIは、外部のコンサルタントを含む10人からなる事務局を社内に設置した。制度策定、審査だけでなく、グループ各社に対し、必要に応じてコンサルティングを実施するのが事務局のミッションである。

 認定制度では、CMM(能力成熟度モデル)などで利用される成熟度レベルを採用。各社を5段階のレベルで評価し、レベル3を合格ラインとした。各レベルは、レベル1:初期段階、同2:プロセスはあるが個人に依存している、同3:プロセスが定義・文書化されている、同4:望ましいプロセスが適切に管理されている、同5:最適化されている―である。

 まずは関連会社(当時は30社)に絞り、レベルを把握するため、事務局がセキュリティ対策に関するヒアリングをして回った。事務局による支援が必要な会社を明らかにすることも目的だ。1社当たり半日から1日かけて、個人情報や機密情報にはどのようなものがあるか、それらをどう管理しているかを確認していった。同時に、それぞれの会社で重点的に改善すべき項目もリストアップした。

 ヒアリング結果を基に、五つの軸でレベルを採点した。五つのうち四つは、個人情報保護法に対して経済産業省が提供しているガイドラインで推奨しているもの。「組織・体制面の対策」、「従業員教育などの人的対策」、「入退室管理や施錠といった物理的対策」、「ユーザー認証やアクセス制御などの技術的対策」である。これに、内部統制の観点から、「内部点検・監査やPDCAによる改善」を加えた。

 採点結果は、レベル3以上、レベル2とレベル3の間、レベル2以下がほぼ同数。つまり、約10社は定義済みのプロセスを認定制度で定めたものに変更すれば合格になるのだが、関連会社の3分の2は、認定取得のために改善が必要な状況だった。

三つの文書に絞り込む

 次に、KDDI情報セキュリティ認定の取得に向けた作業に取りかかった。事務局が指導した作業は、3段階ある。

 最初に、各社がそれぞれの社長の名前で「情報セキュリティ宣言書」を発行する。「経営陣主導で内部統制の確立を目指す」ことを、社内外に向けて宣言する文書である。事務局が用意したひな型を使う。あまり意味がない作業に思えるが、ISMSでも経営陣のコミットメントは重要視されている。KDDIは、「経営陣を筆頭に、重要な取り組みであることを周知徹底するために有用と判断した」(後藤次長)。

 その上で、管理対象となる情報資産の内容を詳細に調べ、「情報資産台帳」を作成する。ISMSでは、社内のあらゆる情報を台帳に記す。顧客情報などだけでなく、ハードウエアやソフトウエア、キャビネット、マシン・ルームといった、いわば情報を入れる“器”に関する情報を含む。どのマシン・ルームにどんなサーバーがあり、それぞれには、どのようなソフトがインストールされているかなどだ。

 これに対してKDDI情報セキュリティ認定制度では、“器”の情報は対象外とした()。コンピュータ上のデータと紙の情報だけを対象とし、さらに、そのなかでも各社が「漏洩してはいけない」と判断した情報資産に絞り込んで台帳に記す。ISMSのような網羅性はないが、最低限の情報に絞って、成熟度レベル3を実現することを優先した。

表1●ISMSと「KDDI情報セキュリティ認定制度」の主な違い[画像のクリックで拡大表示]
表1●ISMSと「KDDI情報セキュリティ認定制度」の主な違い

 台帳の作成が完了したら、記載した各情報資産に対して、どのようなリスクがあるかを分析し、どういった安全管理措置を採っていくかを検討。それを文書化する。作業は各社が行うが、事務局が作業軽減の支援をした。例えば顧客情報に対するリスク分析や安全管理措置の内容は、どの会社も同じような結果になる。そこで事務局がテンプレートを用意し、それを手直しすればよいようにした。

点検とそのエビデンスを重視

 最後の作業は、情報資産台帳に対応した「内部点検シート」の作成と、その実施である。「仮に『パスワードは8桁以上』というルールを決めても、きちんと守られていなければ意味がない。各社に内部点検シートを提出してもらうと、そこから各社の管理体制がよく分かる」とKDDIの後藤次長は話す。

 内部点検シートには、前述した五つの評価軸に沿って詳細な点検項目をリストアップする。ここでは、最初のヒアリング時に洗い出した重点改善項目への対策も反映させる。内容が不十分なら、事務局が指導する。

 実際に、内部点検シートを使って点検したかどうかのエビデンス(証拠)も求めた。入退室管理の点検項目なら「入退室記録」、内部監査なら「監査結果表」といった具合である。このほか、「様々な点検項目に関して、実施の有無を記載した議事録などが重要なエビデンスになる」(後藤次長)。

 KDDI情報セキュリティ認定の有効期間は1年間なので、更新時の審査で十分なエビデンスを示せなければ認定を失う。この規定により、グループ各社のセキュリティ内部統制が担保される仕組みである。海外現地法人に対しては、同様な作業を昨年10月から始めた。この6月には国内の関連会社23社と海外の現時法人26社がみな、レベル3に達する見込みだ。

次回へ