第２回：個人情報保護が企業に与えるインパクト
　　　　　　　　〜安全管理措置に求められる条件

こんにちは、ＩＳＯ総合研究所の藤原と申します。
　　　　　　　　　　　　　　　　　　　http://www.isosoken.com/
「毎度！ＩＳＯニュースです」をご購読頂きまして有難うございます。
今日は、Ｓｃａｎ　２００３／１０／３０の記事からです。
どうぞ、ご覧下さい！
━━━━━━━━━━━━━━━━━━━━━━━━━━━━・・・…
■■■［ＩＳＭＳ］
■■■第２回：個人情報保護が企業に与えるインパクト
■■■　　　　　　　　　　　　　　〜安全管理措置に求められる条件

　前回は、情報セキュリティを経営課題としてとらえる立場から、個人
情報保護法２０条の安全管理措置すなわち「個人データの安全管理のた
めの必要かつ適切な措置」を構築するにあたって講じるべき情報セキュ
リティ対策の4つの課題を明らかにした。
　今回はこれをふまえ、行うべき情報セキュリティ対策の要件は何か考
えることにする。

【前回指摘した課題は以下の4点であった。】
〈課題１〉情報セキュリティ対策で何を実現しようとするのか？
〈課題２〉リスクレベルと経営資源の配分の合理性は？
〈課題３〉リーガルリスクや経営上のリスクは回避できるか？
〈課題４〉経営判断の合理性の証拠が収集できるか？

　従って、行うべき情報セキュリティ対策は、以下の要件を満たすもの
であることが必要である。
〈要件１〉企業の実現しようとする課題を明確にできること
〈要件２〉リスクレベルと経営資源の配分の合理性を確保できること
〈要件３〉リーガルリスクや経営上のリスク回避にも役立つこと
〈要件４〉セキュリティ対策における経営判断の合理性を跡づける証拠
を収集できるものであること

〈要件１〉企業の実現しようとする課題を明確にできること

　情報セキュリティ対策がこの要件を満たすためには、情報セキュリテ
ィ対策を企業の経営課題として捉える枠組みを持っていることが必要で
ある。
　情報セキュリティの定義は、システムのＣＩＡの確保である。しかし
、それを実現するのは、人・金・物・時間という企業のリソースである。

　従って、あるべき情報セキュリティ対策は、システムのＣＩＡの実現
に向けた企業リソースの配分のための経営判断を出発点とすることを明
確に示し、経営陣に情報セキュリティの経営課題すなわち「情報セキュ
リティを確保する理由と対策の必要性がどこにあるのか。情報セキュリ
ティによって何を解決しようとするのか。何を実現しようとするのか。
その経営にとっての意味は何か。」を強く問いかける枠組みである必要
があるのである。

　システムのＣＩＡが重要であることは誰もが熟知している。しかし、
その対策が経営の余技とされ、「システム部門において良きに計らえ」
というものである限り、情報セキュリティ対策は、金喰い虫の汚名を返
上できない。また、情報セキュリティがもたらす経営にとってのメリッ
トを明らかに出来ない限り、対策を実施する各部門の職員にとっては、
「私の仕事がまた一つ増えた。」という不満のもとにすぎない。情報セ
キュリティ対策は、人・金・物・時間を投じた総力戦である。経営陣が
これを行う理由と必要性を鮮明にし、全社員が経営上の意味の実現に向
けて一丸となって苦労を共にし、その達成の喜びを味わうことを約束す
る枠組みでなければならないのである。

〈要件２〉リスクレベルと経営資源の配分の合理性を確保できること

　ところで情報セキュリティ対策の出発点が、システムのＣＩＡの確保
に向けた企業リソースの配分という経営判断であるとして、その経営判
断の合理性が確保されなければ、社員はもちろん、株主、債権者、取引
市場、資本市場に広がる企業の利害関係者の支持は得られない。
　従って、とるべき情報セキュリティ対策は、選択されるリスクレベル
と対処策の選択に向けた経営資源配分の合理性を確保する枠組みを持っ
ていなければならない。

　すなわち、洗い出された脅威、脆弱性とリスク、これに対する対処策
の採用が、〈要件１〉で示した情報セキュリティの経営課題の実現に必
要十分であることを明らかにする手順と枠組みをもっていなければなら
ないのである。
　具体的には、経営陣のために経営が対処すべき脅威とリスクとは何か
、とるべき管理策の選択をどうするかについて、情報セキュリティの経
営課題の実現に必要十分な判断基準を策定する手順が準備されているこ
と、実務部隊には、この基準に従った脅威の振り分けとリスクの処理、
対処策の選択の手順がもうけられていることが必要である。

著者：稲垣隆一　（株）ＳＳＩＪ顧問。弁護士、ＩＳＭＳS主任審査員。
日本弁護士連合会コンピュータ委員会副委員長を務める傍ら、公務では
警察庁総合セキュリティ対策会議委員、経済産業省情報セキュリティ監
査研究会委員、総務省地方公共団体における情報セキュリティ監査の在
り方に関する調査研究会委員、ＪＩＰＤＥＣ平成１５年度システム監査
基準検討ＷＧ委員として活動。著書は「サイバースペースと法規制」、
「情報ネットワークの法律実務」、「個人情報保護と企業対応」等多数。

◇株式会社エス・エス・アイ・ジェイ
http://www.ssij.co.jp/
　　　　　　
　　　　　　　　　　　　　　　　　Ｓｃａｎ　２００３／１０／３０

━━━━━━━━━━━━━━━━━━━━━━━━━━━━・・・…

こんな情報が来ると思ったとか、こんな情報が欲しいんだという、皆様
の意見を承っております。皆様のＩＳＯのお取り組みを、少しでもサポ
ートできれば幸いです。今後とも、ＩＳＯ総研を宜しくお願い致します。

  　　　　　　　　　　　　　　　　　ＩＳＯ総合研究所　藤原　将博
　　　　　　　　　　　　　　　　　　　　fujiwara@isosoken.com

----------------------------------------------------------------

■「ISO9000：2000 経営者・管理責任者向け 審査前チェックリスト」 
　http://www.isosoken.com/9001/c_shutokutyu/cl0920001.html
  
　　審査前のつよ〜い味方新発売！
　　審査前は、やはり心配ですね。事実を述べますが、審査員の質問は、
　経営者への質問が多いのです。しかし、経営者は、ＩＳＯ運営は担当
　者に任せきりという会社が多く存在するのです。 

　　この「審査員の質問」を事前に審査シュミレーションとしてCheck
　できるのが、このツールです。

　全４１問で審査前の準備を万全にしましょう！
----------------------------------------------------------------

■ＩＳＯ総合研究所
http://www.isosoken.com/
■有限会社　プリンスキー
http://www.prinsky.com/
■ちっこんなメルマガいらねーや（メルマガ解除）
http://www.mag2.com/m/0000068644.htm

----------------------------------------------------------------