企業が情報セキュリティに絡んだ事件や不祥事の当事者となるケースは、2000年前後から問題となっていた。しかし昨今、企業活動がITやインターネットなしには成り立たなくなった背景もあり、情報セキュリティ事件の被害規模や対策費用は、企業経営そのものに大きな打撃を与えるほど大きくなっている。
今年に入って、ベネッセ・コーポレーションの内部不正による大規模な情報流出事件もあり、企業の危機意識はさらに高まっている。
だがその一方で、情報リスクの影響範囲やセキュリティ犯罪の手口は複雑さを増している。どこから、誰が攻撃してくるかわからない状況で、企業は場当たり的な対応では立ち行かなくなっている。
そこで、「情報セキュリティガバナンス」という概念が生まれた。
「2005年に経済産業省が『情報セキュリティ政策会議』を設置し、同じ年に『個人情報保護法』が施行されて、企業が情報を管理する体制の整備に本格的に取り組む転機となりました。同時にこのころから、情報セキュリティをコーポレートガバナンスの視点で考えることの重要性がクローズアップされてきました」と語るのは、三菱総合研究所でサイバーセキュリティ問題の調査に取り組む、情報通信政策研究本部サイバーセキュリティグループの江連三香主任研究員だ。
経営者が情報セキュリティの
管理と運用を掌握する体制作り
「情報セキュリティガバナンス」とは、企業経営者が自ら、情報セキュリティの把握と管理・運用をリードし、それを実現する組織体制を整備することを指す。
具体的には、IT部門が管理する情報システムの運用状況について、経営者がモニタリングを行う体制がまず必要となる。その管理状況は役員会議にかけられ、セキュリティ対策の方向付け、実際に起こっているリスクの評価などを行う。そして会議の結果を企業の取引先、株主、顧客等のステークホルダーに報告する。ここまでの一連の活動ができて、情報セキュリティガバナンスが整備されたことになる。
2011年の経済産業省の調査では、情報セキュリティガバナンスを実施していると答えた企業は43.5%、認知度している企業は80%を超えていた。経営者の認識は確実に高まっていると言えるだろう。