■ 企業に求められる情報リスクマネジメント

厳しい経済環境と国際競争の中で企業が勝ち残るためには、バリューチェーンの構築・強化やグループ経営の最適化に向けて、情報資産を高度に利活用する取り組みが不可欠です。しかし、それに伴い、重要情報の流出やシステム障害のトラブルで企業価値を損なう情報リスクが高まっています。

情報リスクの問題は今や、法令遵守、知的財産保護、製品・サービスの品質維持、事業継続、企業ブランドにも影響する重要な経営課題の一つであり、「情報システム部門にお任せ」で対処できるものではありません。

また、企業経営者には、2006年の会社法改正を契機にリスクマネジメントへの対応が求められています。しかし、情報リスクの分野では、経営陣のリスク管理方針と現場の対策の間にギャップがあるため、上から見ると「統制できない」、下から見ると「理解されない」という相互不信の構造に陥りがちです。

そこで、このような状況を打開するため、経営陣は情報リスクをリスクマネジメントの一環で捉え、リスクの「見える化」とそれに応じた適切な対策実施を図る、「情報セキュリティガバナンス」の構築に取り組むことが望まれます。

【企業の情報資産を取り巻く環境の変化】

【情報リスク領域の拡大】

■ 情報セキュリティガバナンスとは

情報セキュリティガバナンスとは、経営陣が主体的かつ適切に情報リスクを管理し、利害関係者に説明する仕組みを構築・運用することです。情報リスクの増大と企業の内部統制強化を背景に近年関心が高まっているテーマであり、国内では経済産業省を中心に検討され^*1、国際標準化機関であるISO/IEC^*2やITU-T^*3において標準化作業が始まっている他、米国のコンピュータ学会の最大手であるACM^*4でもワークショップを予定しています。

情報セキュリティガバナンスを構築するためには、企業内に以下の機能を整備します。

• 経営陣が情報リスクの管理方針や目標・目的を示す（方向付け）
• 経営陣が情報セキュリティ対策の状況を把握する（モニタリング）
• 目標･目的が達成されているか、それが適切であったかを経営陣が評価する（評価）
• 情報リスクの管理状況について、経営陣が利害関係者に説明する（報告）
• そうした仕組みが機能していることを監査役等が確認する（監督）

【情報セキュリティガバナンスのフレームワーク】

（出典：経済産業省「情報セキュリティガバナンス導入ガイダンス」,2009/06）