企業のIT活用が進む現在、常に意識しておきたいのは情報セキュリティです。もちろんITを活用しないのであれば、情報セキュリティを気にすることもないでしょう。しかし、現実的にITを使わなければ企業経営ができないといっても過言ではありません。

そこで重要となるのが、「情報セキュリティガバナンス」です。企業は情報セキュリティガバナンスに則ってITを利用すれば、高い情報セキュリティを保ちつつ、ITを活用することができます。今回は、情報セキュリティガバナンスの基礎知識と、重要性、そして研修の方法について解説します。

情報セキュリティガバナンスとは

情報セキュリティガバナンスとは、どのような意味なのでしょうか。

経済産業省が2005年に発表した「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」では、情報セキュリティガバナンスとは、「コーポレートガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」としています。

企業経営の主目標は、株主、顧客、取引先、従業員、社会などの利害関係者（ステークホルダー）に対して責任を果たすこと、つまり「企業価値の向上」および「社会的責任の遂行」であり、そのための仕組みがコーポレートガバナンスと呼ばれるものです。

内部統制は、これを支える重要な取り組みであり、経営者が方針を決定し、組織内の状況をモニタリングする仕組み、および利害関係者に対する開示と利害関係者による評価の仕組みを指しています。

内部統制には、さまざまなリスク管理が含まれていますが、情報セキュリティ対策もその一つになります。

コーポレートガバナンスの一環として情報セキュリティガバナンスを企業、企業グループに確立し、内部統制の仕組みを適用することで、情報セキュリティ対策の自律的・継続的な推進が実現できるということです。

なお、情報セキュリティガバナンスの対象は、ITだけでなく、組織が価値を認めるあらゆる情報資産が該当するとされています。

コーポレートガバナンス、IT ガバナンス、情報セキュリティガバナンスの関係は次のようになります。

出典：経済産業省「情報セキュリティガバナンス導入ガイダンス」

ガバナンス（コーポレートガバナンス）とコンプライアンスの違いとは？企業に求められる必要なことを解説

情報セキュリティガバナンスの重要性

情報セキュリティガバナンスが重要な理由は、その確立によって、情報セキュリティ対策がその場しのぎの対症療法的なものではなく、自律的・継続的に改善・向上できることにあります。

情報セキュリティガバナンスが確立できていない場合、コンピュータウイルスやワームの感染拡大、機密情報の流出、システムダウン等のIT系の事故は繰り返し発生することも考えられます。それによって、企業が被る不利益には次のようなものがあります。

①金銭の損失

インターネットバンキングに関連する不正送金やクレジットカードの不正利用では、直接的な金銭の損失が生じるほか、取引先や顧客の機密情報が入ったパソコンやUSBを紛失し、情報漏えいしたような場合、民法上の不法行為として損害賠償請求を受けることもあります。

②業務の停滞

コンピュータウイルスやワームに感染した場合、運用中の情報システムを停止し、被害の拡大を防止することが必要になることがあります。その結果、業務がストップし、営業機会の喪失や納期の遅滞などの損失が発生します。

③顧客の喪失

機密の漏えいや業務の停滞などのトラブルが発生すると、企業として社会的信用を失うことになります。顧客の喪失にもつながり、事業の継続にも影響を与える可能性もあります。

④従業員への悪影響

務める企業が社会的に信用を喪失した場合、従業員の働くモチベーションにも影響を与えます。情報セキュリティガバナンスが確立できていないことは、おそらく従業員にも周知されていない可能性は高く、モチベーションはもともと高くないケースもあるでしょう。

こうした企業の被る不利益だけでなく、情報セキュリティの管理が不適切な場合は、個人情報保護法、マイナンバー法、不正競争防止法、金融商品取引法などの法的責任が問われることもあります。

リスクを確実に回避するためには、対症的なセキュリティ対策ではなく、情報セキュリティガバナンスを確立することが重要になるのです。

情報セキュリティガバナンス確立のためのフレームワークとは

経済産業省の「情報セキュリティガバナンス導入ガイダンス」によると、情報セキュリティガバナンスを確立するためのフレームワークは、次の５つで構成されています。

• 経営戦略やリスク管理の観点から行う「方向付け（Direct）」
• ガバナンス活動の状況を指標に基づき可視化する「モニタリング（Monitor）」
• 結果を判断する「評価（Evaluate）」
• これらのプロセスが機能していることを確認する「監督（Oversee）」
• 結果を利害関係者等に提示する「報告（Report）」

出典：経済産業省「情報セキュリティガバナンス導入ガイダンス」

 

基本サイクルとなるのは、「方向付け」「モニタリング」「評価」の３つです。なお、利害関係者は、報告先になっていますが、企業として統制・管理することはできないため、フレームワークには含めません。

基本サイクルについて補足すると、「方向付け」では、経営陣が企業価値の向上と社会的責任を遂行するために、適法性・適正性に配慮した上で、経営戦略やそれに基づくリスク管理の方針を提示します。

「モニタリング」は、経営陣が示した方向付けに従って、適切にリスク管理がなされていることを経営陣が理解できる形で示し、経営陣が評価を行えるようにするために必要な情報を収集する活動とされています。

「評価」は、方向付けした方針や情報セキュリティ目的・目標が実現できたかどうかを評価する活動になります。

情報セキュリティガバナンスを確立するには、こうした有効なフレームワークを整備することが求められます。

セキュリティ対策の進め方と情報セキュリティ教育の重要性

情報セキュリティガバナンスのフレームワークを整備し、リスク管理としてセキュリティ対策を講じていくことになります。

セキュリティ対策が大手企業に比べて不十分な中小企業について、独立行政法人情報処理推進機構（IPA）と中小企業関係団体が2017年2月に発表した自己宣言制度「SECURITY ACTION」というものがあります。

参考：独立行政法人 情報処理推進機構「セキュリティ対策自己宣言」

取り組み段階に応じて「★一つ星」と「★★二つ星」のロゴマークがあり、ロゴマークを無料で使用することができます。例えば、「★一つ星」のロゴを使用する場合は、以下の「情報セキュリティ5か条」に取り組むことが必要です。

①OSやソフトウェアは常に最新の状態にしよう！
②ウイルス対策ソフトを導入しよう！
③パスワードを強化しよう！
④共有設定を見直そう！
⑤脅威や攻撃の手口を知ろう！

これらは、すべて必ず実行すべき、重要なセキュリティ対策です。ロゴマークをポスターや名刺などに表示してアピールすることで従業員の意識を高めるとともに、対外的な信頼にもつながります。

その上で、情報セキュリティ基本方針の策定と周知などの組織的な取り組みをスタートし、管理体制の構築、情報セキュリティ規程の作成などに取り組みます。

よりセキュリティ対策を強化するために、ウェブサイトやクラウドサービスの情報セキュリティ、情報セキュリティサービスの活用なども進めていくことになるでしょう。

また、従業員の意識を高める上で重要な取り組みとして、情報セキュリティ教育を挙げることができます。策定した情報セキュリティ基本方針を始めとする取り組みは、組織幹部も含め、全従業員に情報セキュリティ教育を実施し、遵守を徹底しなければなりません。

＼情報セキュリティ研修もできるplayse.ラーニング／

情報セキュリティ教育におすすめのツール

情報セキュリティガバナンスを確立することが、情報セキュリティ対策を自律的・継続的に改善・向上するために必要であり、実際の取り組みでは情報セキュリティ教育が重要な役割を果たします。

研修としての教育方法は、かつては対面が主流でしたが、新型コロナウイルス感染症の影響もあり、最近では非対面型のeラーニングを活用する企業が増えています。

そこでおすすめしたいのが「playse.eラーニング」です。「playse.eラーニング」は多くの教育・研修コンテンツを備え、一般的な内容の情報セキュリティガバナンスももちろん学べます。それだけでなく、自社の実情に合わせた自社教材を作成し、アップロードして利用することもできるのです。

そのほかにも、テスト・アンケート機能を利用して理解度を確認したり、スマートフォンやパソコンからいつでも、どこでも学習できたりすることも大きな特徴です。

「playse.ラーニング」の詳しいサービス資料のダウンロード、研修のオンライン化やeラーニングシステムの活用に関するご相談など、お気軽にお問い合わせください。