NTTデータ・セキュリティ創立10周年特別コラム情報セキュリティの10大潮流－その3－
～ガバナンス（内部統制）時代の到来～

■■　セキュリティ管理の確立【カテゴリ1】　■■

第3の潮流「ガバナンス（内部統制）時代の到来」

日本の情報セキュリティは、1990年代の暗号技術を初めとするセキュリティ技術の進展をベースに、2000年代初頭からISMS評価認定制度を中心とするマネージメント時代を経て、現在はガバナンス時代に入っています。今回は第3の潮流としてガバナンス時代のセキュリティについて解説していきます。

1. セキュリティの新しい潮流

(1)OECD（経済協力開発機構）

2002年、10年ぶりにOECDのセキュリティガイドラインが改訂されました。改訂の中心は、本文中に良く出てくるCulture　of　Securityということです。これはセキュリティを文化として捉えて行こうということです。良く耳にする「企業文化」では、「会社の経営方針の下に、社員全員が利益や社会的責任を追及していこう」とすることです。同様にセキュリティ文化は「セキュリティポリシーに基づいて、従業員全体がセキュリティの確保に向けて活動していこう」ということです。OECDのガイドラインでは、情報セキュリティが企業経営そのものになってきていることを訴えており、そこには企業のガバナンスが働くべきことを要求しております<図1>。

(2) SOX（サーバンスオックスレイ）法

一方大企業の不正会計事件に端を発して、米国では上場企業に対する投資家の信頼回復をねらった企業改革法(SOX法)が2002年に成立しました。この事件は米国社会に大きな衝撃を与え、コーポレート・ガバナンス、ディスクロージャー制度や社外監査人の独立性、会計基準等々、資本市場を支える多くの法制度について改革が必要であることを明らかにしました。 SOX法では、企業が健全に事業を維持拡大していくために、コーポレートガバンス(企業統制)が不可欠であり、このコーポレート･ガバナンスを実現するためには、効率的な社内管理・内部統制(インターナルコントロール)と連携することが求められます。SOX法は、会計原則に関わる法律ですが、今日の企業財務会計プロセスはITに支えられており、当然ITおよび情報セキュリティの問題としても認識されているところです。

(3) 日本版SOX法（金融商品取引法）の施行

日本版SOX法は通称で、証券取引法の抜本改正である「金融商品取引法」の一部規定がこれに該当し、2009年3月の決算期の上場企業に対して施行されています。内部統制の目的として、「業務活動の有効性」、「財務報告の信頼性」、「関連法規制の遵守」、「資産の保全」を挙げており、それぞれ固有の目的ですが、互いに独立したものではなく、密接に関連しています。 内部統制を構成する基本的要素は、「統制環境」、「リスクの評価と対応」、「統制活動」、「情報と伝達」、「モニタリング」、「ITへの対応」からなるとしており、この6つの基本的要素がすべて適切に整備および運用されることが重要で、内部統制の有効性を判断する際の評価基準となっています。

2. 内部統制と情報セキュリティ

(1) 内部統制に求められる情報セキュリティ

ここでコーポレート・ガバナンスの意味を考えてみます。OECD(経済開発協力機構)ではコーポレート・ガバナンスを「企業を効率的に経営して、経済的繁栄を最大にするための企業の規律と支配に関するもの」と定義しています。今日ではIT抜きにビジネスプロセスを語れませんので、社内統制にはITの整備が重要であり、さらには情報セキュリティに関わる統制についても又、極めて重要なキーになってくるというわけです。従って、情報セキュリティについての監査・報告も求められていると思われます。 SOX法で求められている有効な内部統制を実現していくために、必要な戦略的な技術は何でしょうか。SOX施行から2年を経た米国で行われたアンケート結果では1番目に内外のセキュリティ対策、2番目は文書の記録管理で3番目に業務プロセス管理という結果が出ております<図2参照>。セキュリティは、このようにガバナンスの要であると言うことができるでしょう。

こうした昨今の情報セキュリティに求められる動きを背景として、経産省では「企業における情報セキュリティガバナンスのあり方に関する研究会」を開催し報告書<参考2>が公表されました。

<参考2> 企業における情報セキュリティガバナンスのあり方に関する研究会報告書
http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html

(2) 情報セキュリティに求められるガバナンス

平成17年3月「企業における情報セキュリティガバナンスのあり方に関する研究会」(経済産業省)の報告書において、「情報セキュリティガバナンス」とは、「コーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」と定義されています。 経産省、警察庁等による日本における情報セキュリティの調査からは、かかえる問題点のポイントとして以下の3つを挙げています。

1. T事故発生のリスクの定量性が明確にできず適正な情報セキュリティ投資の判断が困難。
2. 既存の情報セキュリティへの「対策」「取り組み」が企業価値に直結していないと考えている。
3. 事業継続性確保の必要性が十分認識されていない。

上記の問題はIT投資が厳しく問われる中で、(a)、(b)については常に指摘され続けている問題で、多くの経営者が抱いている問題でもあります。 経済産業省では、企業における情報セキュリティの取組みが依然として進んでいないとの認識に立ち、これらの問題を克服し、情報セキュリティガバナンスの確立を促進するための施策ツールとして先に挙げた研究会では以下の3つの提言を行い、情報セキュリティそのものに対するガバナンスの構築を推進するべく活動を続けています。

• 情報セキュリティ対策ベンチマーク
  企業の属性毎にセキュリティ対策水準示すとともに、望まれる水準をレーダチャートで示しています。
• 情報セキュリティ報告書モデル
  企業の情報セキュリティに関する取り組み状況を開示して、顧客や投資家等のステークホルダから適正に評価されるために、報告すべき事項を中心に雛形を示しています。
• 事業継続計画(BCP)策定ガイドライン
  事業継続計画に関わる計画・実行・評価・改善のPDCAサイクルの具体的手順について示しています。統制機能が的確・有効に働いているかの評価･検証を行います。

3. 企業価値向上に向けて

COSO内部統制のフレームワーク<注1>には、目的の1つとして「事業の有効性や効率性」も含まれていますが<図3参照>、現状では「財務諸表の信頼性確保」ばかりに関心が集まり、「事業の有効性や効率性」については手が回らないのが現状だと思われます。一方、日本経済新聞社が「日経マネジメントフォーラム2008」への参加申し込み者を対象に行ったアンケートの結果では、日本版SOX対応後の"次の一手" として興味のあるテーマは、回答者の半数以上が、日本版SOXで「見える化」した業務の標準化・効率化を考え、統合リスク・マネジメント(ERM：Enterprise Risk Management)への展開やシェアードサービス化についても関心を持っていることが示されています<図4参照>。

ステークホルダー(利害関係者)が、経営者に期待するものは内部統制を通じた「企業価値の向上」であり、さらに「リスクを全社的視点で、合理的かつ最適な方法で管理して、リターンを最大化することで、企業価値を高めることが求められています。その具体的フレームワークとしてERM(統合リスクマネージメン)が注目されているところです。ERMについては、第4の潮流として次回コラムで解説する予定です。

<注1>COSO フレームワーク：
1992年に発表された「内部統制のための包括的フレームワーク(Internal Control - Integrated Framework)」(通称COSOレポート)で、米国や日本の監査基準等でも参照されています。