前回に引き続き情報セキュリティの話題です。
今回は情報セキュリティ対策はなぜ必要なのか?という点について考えてみます。
情報化社会で企業活動を営んでいくに当たっては、下記の3つの方面から情報セキュリティに関する要請がなされていると考える必要があるとされています。
- 法制度からの要請
- 取引先企業からの要請
- 社会からの要請
以下、各項目について書いてみます。
(1)法制度からの要請
これは単純明快です。日本の法律で決められているので守らなければいけないということです。
企業の情報セキュリティ対策は主に以下の3つの法律への対応が必要と考えられます。
- 個人情報保護法
- 会社法
- 金融商品取引法
個人情報保護法については話が長くなるので次回改めて書きたいと思います。
会社法では、内部統制システムを整備・運用することが求められています。ここでいう内部統制システムとは、会社が健全に事業を遂行するための仕組みのことです。会社法で要求される企業の内部統制システムの構築の際には、情報セキュリティの基本方針を定めることも求められています。なぜなら、内部統制とはリスク管理体制と定義され、そのリスクの中には、情報セキュリティに関するリスクも当然含まれるからです。よって、会社法を守るために情報セキュリティ対策を行わなければならないということになります。
金融商品取引法も会社法と似ているのですが、もう少し具体的です。
財務報告に係る内部統制報告書の作成・提出にあたって、情報セキュリティ対策の有効性も経営者評価及び監査の対象となります。財務報告の信頼性を確保するためには、財務データ等への適切なアクセス管理等が必要となります。よって、金融商品取引法を守るために情報セキュリティ対策を行わなければならないということになります。
法制度からの要請については、経済産業省のWebサイトから、「情報セキュリティ関連法令の要求事項集」というものがダウンロード可能です。
http://www.meti.go.jp/policy/netsecurity/secgov-documents.html
(2)取引先企業からの要請
一言で言ってしまえば、「情報セキュリティのしっかりしていない会社と取引して情報漏洩でもされると、こちらも迷惑を被るので取引しません。」ということです。
特に大企業から仕事を委託される中小企業には重要な問題で、IPA(独立行政法人 情報処理推進機構)の調査によると、中小企業の2/3が取引先の大企業から情報セキュリティ対策を求められたことがあるそうです。
(3)社会からの要請
法律や商取引とは直接関係なくても、社会一般に期待されるレベルの対策の実施が求められています。
情報セキュリティに関する事故が起きた場合、社会的に強い非難を浴びる傾向が強まっています。特に、社会一般に期待されるレベルの対策の実施を怠っていた場合は、売上の激減など、直ちに経営に響く事態となる可能性があります。
”社会一般に期待されるレベル”というのが曖昧ですが、常に変化している状況なので、企業の情報セキュリティ担当者はアンテナを高くして情報を仕入れる必要があります。明らかにルーズだった場合は特にまずいことになります。ファイル交換ソフトから顧客情報が漏れだしたり、鍵がかかっていない書庫から機密書類を盗まれてしまった場合などです。
情報化社会も楽ではありませんね。
次回は情報セキュリティ関連の法令でもの中でも特に事件に結びつきやすい個人情報保護法について考えてみたいと思います。