視点
情報保護とITの内部統制をISMSで
2006/10/09 16:41
週刊BCN 2006年10月09日vol.1157掲載
最近の相次ぐ事件・事故から、企業の社会的責任(CSR)として、個人情報の保護、営業秘密の保護、経営倫理およびコンプライアンス重視の経営についての内部統制が強く求められている。
また、日本版SOX法(金融商品取引法)や会社法によって、財務報告の信頼性確保、コンプライアンス、資産の保全、業務の適正化、業務の有効性・効率性の確保、ITへの対応を確実に実施し、結果を経営者が評価・確認できる内部統制の仕組みづくりが求められている。
これらの要求内容によっては、内部統制の実施は1社だけでは済まないケースが生じる。グループ企業全体や委託先企業にまで展開しないと、有効な統制にならないものがある。例えば財務報告の信頼性確保では、グループ企業の業績を含めなければならない。個人情報の保護では、個人情報の取り扱い委託先を含めて保護の仕組みをつくらないと、適切な保護が行えない。
情報、資産および情報システムの内部統制には、ISMS(情報セキュリティマネジメントシステム)が有効である。
ISMSは、「情報の保護(機密性)」をはじめ、「完全性」「可用性」の確保を中心に、万一の事故・災害による業務中断に対応する復旧(事業継続計画=BCP)についての仕組みを提供してくれる。
ISMSは2005年10月にISO化され、06年5月にJIS Q 27001となった。今回のISO化によって、情報の機密性、完全性、可用性の確保だけでなく、対象の誤り・偽り・なりすましを起こさせない「真正性」、誰による行動・操作なのかが追跡できる「責任追跡性」、本人の署名による否認防止および期待通りの品質を提供する「信頼性」の確保についても追加された。ISMSの仕組みのなかで、追加されたこれらを含めて、リスク評価を行い、管理策を手順化し、運用・監視し、記録に残し、それらを監査し、経営者が評価・見直しすることで、情報、資産および情報システムの内部統制を行うことができる。
企業を取り巻く環境は、ますます複雑化する一方だ。保護しなければならないものがある一方で、正確な公開を要求されるデータもある。ISMSの仕組みを活用して、個人情報についての機密性・完全性・可用性の確保および本人の権利・利益の保護、企業秘密の機密性の確保、情報の真正性や責任追跡性等の確保などの内部統制および事業の継続性の確保を確実なものにしてはいかがだろうか。
また、日本版SOX法(金融商品取引法)や会社法によって、財務報告の信頼性確保、コンプライアンス、資産の保全、業務の適正化、業務の有効性・効率性の確保、ITへの対応を確実に実施し、結果を経営者が評価・確認できる内部統制の仕組みづくりが求められている。
これらの要求内容によっては、内部統制の実施は1社だけでは済まないケースが生じる。グループ企業全体や委託先企業にまで展開しないと、有効な統制にならないものがある。例えば財務報告の信頼性確保では、グループ企業の業績を含めなければならない。個人情報の保護では、個人情報の取り扱い委託先を含めて保護の仕組みをつくらないと、適切な保護が行えない。
情報、資産および情報システムの内部統制には、ISMS(情報セキュリティマネジメントシステム)が有効である。
ISMSは、「情報の保護(機密性)」をはじめ、「完全性」「可用性」の確保を中心に、万一の事故・災害による業務中断に対応する復旧(事業継続計画=BCP)についての仕組みを提供してくれる。
ISMSは2005年10月にISO化され、06年5月にJIS Q 27001となった。今回のISO化によって、情報の機密性、完全性、可用性の確保だけでなく、対象の誤り・偽り・なりすましを起こさせない「真正性」、誰による行動・操作なのかが追跡できる「責任追跡性」、本人の署名による否認防止および期待通りの品質を提供する「信頼性」の確保についても追加された。ISMSの仕組みのなかで、追加されたこれらを含めて、リスク評価を行い、管理策を手順化し、運用・監視し、記録に残し、それらを監査し、経営者が評価・見直しすることで、情報、資産および情報システムの内部統制を行うことができる。
企業を取り巻く環境は、ますます複雑化する一方だ。保護しなければならないものがある一方で、正確な公開を要求されるデータもある。ISMSの仕組みを活用して、個人情報についての機密性・完全性・可用性の確保および本人の権利・利益の保護、企業秘密の機密性の確保、情報の真正性や責任追跡性等の確保などの内部統制および事業の継続性の確保を確実なものにしてはいかがだろうか。
- 1
