第５回：個人情報保護が企業に与えるインパクト
　　　　　　　　　　　　　　　 〜ＩＳＭＳの有効性（２）

こんにちは、ＩＳＯ総合研究所の藤原と申します。
　　　　　　　　　　　　　　　　　　　http://www.isosoken.com/
「毎度！ＩＳＯニュースです」をご購読頂きまして有難うございます。
今日は、Ｓｃａｎ　２００３／１１／２７の記事からです。
どうぞ、ご覧下さい！
━━━━━━━━━━━━━━━━━━━━━━━━━━━━・・・…
■■■［ＩＳＭＳ］
■■■第５回：個人情報保護が企業に与えるインパクト
■■■　　　　　　　　　　　　　　　　　〜ＩＳＭＳの有効性（２）

　連載も最終回を迎えた。これまでの連載で、情報セキュリティ対策の
究極の目的が経営戦略の実現にあること、情報のＣＩＡの確保はその技
術的条件であることを述べてきた。このような観点からみて、今最も優
れている情報セキュリティ対策の枠組はＩＳＭＳである。今回は、ＩＳ
ＭＳがなぜ優れているのかに焦点をあてて、前回以下（２）まで解説し
た続きについて解説する。

■情報セキュリティ対策に際しての実践的な課題は、以下の４点であっ
　た。
（１）情報セキュリティ対策で何を実現しようとするのかが明確にされ
　　　ること
（２）リスクレベルと経営資源の配分の合理性が確保される枠組がある
　　　こと
（３）リーガルリスクや経営上のリスクがシステムリスクと関連づけら
　　　れていること
（４）経営判断の合理性を跡づける証拠収集の方法論がそなわっている
　　　こと
　ＩＳＭＳは、以下に述べるとおり、これらの実践的な課題にも応える
ものとなっている。

（３）リーガルリスクや経営上のリスクがシステムリスクと関連づけら
　　　れていること
　ＩＳＭＳのリスクアセスメントでは、情報セキュリティのＣＩＡが欠
けることによってもたらされるリーガルリスクや経営上のリスクを詳細
に検討する。これによってシステムリスクがリーガルリスク、経営上の
リスクと関連づけられる。
　リスクアセスメントの中心は、情報資産のＣＩＡの喪失の可能性の把
握であるが、その喪失がもたらすリーガルリスク、経営上のリスクも考
慮する。また、マネジメントは法規に適合していなければならない。Ｉ
ＳＭＳのＰＣＤＡにおけるＣＨＥＣＫのプロセスでは、新たな法令の施
行、既存の法令の改正、規制の新設、判例の動向などにより現在のプロ
セスが引き続き法令等に準拠していることを確認し、変更があればＩＳ
ＭＳの変更を行うことが求められる。
　山一證券、大和銀行代表訴訟、雪印事件、みずほシステム障害事件を
見るまでもなく、コンプライアンスを欠く経営に対する社会の指弾は、
極めて厳しいものがある。また、機関投資家のガイドラインにもとづく
投票行動は、コンプライアンスの確保なくして経営の安定はないことを
示している。ＩＳＭＳの構築維持は、システムリスクとリーガルリスク
、経営上のリスクを関連づけ、コンプライアンス経営の確保に資するこ
とになる。
　個人情報保護法の成立によって、この関連性を検討するＩＳＭＳの有
効性はますます顕著なものとなったといえるであろう。個人情報保護法
２０条は、情報セキュリティ対策を個人情報取り扱い事業者の義務とし
た。従って、個人情報のＣＩＡの確保は、リーガルリスクに直結し、経
営上のリスクに直結する。５６万人分の個人情報を漏洩したローソン事
件で、ローソンが一人５００円の商品券を普通郵便で郵送した。そのコ
ストを計算すれば、５８０円×５６万人で、３億２千万円を超える。情
報セキュリティ対策にあたり、情報のＣＩＡの喪失が、このようなリー
ガルリスク、経営上のリスクと関連づけられて明確に把握されなければ
、適切な経営資源の配分はおよそ不可能なことが明らかである。
　なお、リーガルリスクの把握にあたっては、損害賠償の脅威などに止
まらず、不正競争防止法による被害回復に必要な法的体制構築にどの程
度の負担があるかなど、企業機密の防衛の観点からも検討が加えられる
。個人情報の事故ほど報道されていないものの、戦略新商品情報、経営
戦略情報など、企業機密の漏洩、喪失は、個人情報のそれ以上に経営に
影響を与える可能性が高いことに留意すべきである。

（４）経営判断の合理性を跡づける証拠収集の方法論が備わっているこ
　　　と
　ＩＳＭＳの構築維持においては、マネジメントを構築維持するために
宣言文書や規程類の他に、リスクアセスメントや監査に際して、事実を
把握し、評価を行うために、多数の文書が作成される。


著者：稲垣隆一　（株）ＳＳＩＪ顧問。弁護士、ＩＳＭＳ主任審査員。
日本弁護士連合会コンピュータ委員会副委員長を務める傍ら、公務では
警察庁総合セキュリティ対策会議委員、経済産業省情報セキュリティ監
査研究会委員、総務省地方公共団体における情報セキュリティ監査の在
り方に関する調査研究会委員、JIPDEC平成１５年度システム監査基準検
討ＷＧ委員として活動。著書は「サイバースペースと法規制」、「情報
ネットワークの法律実務」、「個人情報保護と企業対応」等多数。

　　　　　　　　　　　　　　　　　Ｓｃａｎ　２００３／１１／２７

━━━━━━━━━━━━━━━━━━━━━━━━━━━━・・・…

こんな情報が来ると思ったとか、こんな情報が欲しいんだという、皆様
の意見を承っております。皆様のＩＳＯのお取り組みを、少しでもサポ
ートできれば幸いです。今後とも、ＩＳＯ総研を宜しくお願い致します。

  　　　　　　　　　　　　　　　　　ＩＳＯ総合研究所　藤原　将博
　　　　　　　　　　　　　　　　　　　　fujiwara@isosoken.com

━━━━━━━━━━━━━━━━━━━━━━━━━━━━・・・…

■ＩＳＯ総合研究所
http://www.isosoken.com/
■有限会社　プリンスキー
http://www.prinsky.com/
■ちっこんなメルマガいらねーや（メルマガ解除）
http://www.mag2.com/m/0000068644.htm

----------------------------------------------------------------