第2回:情報セキュリティ対策が企業の価値を左右する - (page 2)

田辺 雄史 氏
経済産業省 商務情報政策局 情報経済課 情報セキュリティ政策室 課長補佐
1997年3月 早稲田大学大学院理工学研究科修了/通商産業省入省
2000年3月より内閣官房情報セキュリティ対策推進室にて情報セキュリティポリ
シーガイドラインの作成を担当、 2001年1月より経済産業省商務情報政策局情報セキュリティ政策室にて
ISO/IEC15408に基づくセキュリティ評価・認証制度の創設及び技術戦略を担当、
2002年7月より米国コロンビア大学(国際関係学修士)に留学し、
2004年5月より経済産業省 商務情報政策局 情報経済課 情報セキュリティ政策室
課長補佐(現職)

情報セキュリティ監査の質を保証する仕組み

――これまでの制度やガイドライン、監査について、どのような点を補完していこうとなさっているのかを詳しく教えていただけますか。

田辺: 例えば制度としては、2003年4月に始まった情報セキュリティ監査制度があります。現段階ではまだ“助言型”がメインだと思いますが、これを“保証型”を中心とした、より信頼性の高いものにしていきたいと思っています。これが例えば有価証券報告書に情報セキュリティについての項目を入れるといったことになると、セキュリティ対策はどんどん進んでいくと思っているんです。

井上: 第1回で田辺さんが述べられたように、監査の質というのも大切です。「日本セキュリティ監査協会」では、監査の質(高い倫理観、高い専門的な能力)が一定水準以上であることを担保する仕組み作りを目的としています。つまり、「この監査法人が行ったから、この監査報告書は信用できる」といった仕組み作りですね。そのためには、これも前回に述べた通り、監査技術の向上、監査主体の質の向上(監査人のスキルアップ、監査人資格のあり方等)が必須になります。

田辺: 資格や試験といった制度は大変重要ですね。例えば国の資格では、情報処理技術者試験というものがあり、IT技術者のスキルを客観的に判断できる指標があるのですが、セキュリティも同じ方向性が求められますね。特に監査制度については。

井上: そうですね。国主導で、セキュリティ監査の技術を保証する制度を作るのは大変意義があると思います。その一方で、例えば情報処理技術者試験に対して民間のベンダー資格があるように、民間で情報セキュリティ監査人資格制度の設計・運営が行われてもいいのかなとも思います。国が引っ張っていく一方、われわれ日本セキュリティ監査協会が民間の立場で民間主導に引き戻す、という二人三脚体制が必要なのではないでしょうか。

田辺: 日進月歩の技術革新の中、セキュリティに関しては「種をまけば、いつか森になるだろう」という待ちの姿勢では追い付かないんですよ。種から積極的に芽を出して、森にしていくドライビングフォースとして、国がお手伝いできれば幸いですね。

情報セキュリティ対策が企業の格付けにも影響

――監査制度について、「助言型から保証型にしたい」というお話がありましたが、そうなると、企業に対する格付けにもかなりの影響が出てきそうですね。

田辺: 世の中の意識の高まりを見ていると、これまでの施策を見直す時期に来ていると思います。つまり、「セキュリティ対策は、こうあった方がいいですね」という助言ではなく、「具体的に何をどこまで、どうすればいいのか」とか「もしその対策を怠ればどうなるのか」といったことにまで言及する必要が出てきたのですよ。

井上: “見直しの時期”というのはよく理解できます。監査する立場からいうと、例えばこれから施行される個人情報保護法と絡めた形で情報セキュリティ監査を考える必要が出てきましたからね。そういう意味で、「どんなリスクに対して」という網羅性と、「どこまでやればいいか」という十分性の2つを体系化する時期に来ています。現に、情報セキュリティ事故が企業にもたらす影響力というものがあるわけですから、企業としても監査する立場としても、その影響力をしっかり認識しないといけませんね。

田辺: その通りです。監査というものを深く検討していくと、やはり監査報告書を何らかの形で開示することで企業価値を維持していくという方向性が見えてきたのです。もちろん、すぐにとは言いませんが、将来的には企業の格付けにも情報セキュリティ監査が影響していけば、企業側の情報セキュリティ対策は速やかに進んでいくと考えています。

井上: 近い話題でいえば、個人情報保護法の施行にも同じことがいえると思いますよ。これまで個人情報流出については民事責任だったのですが、法の施行により刑事責任が問われるようになるわけですから、何らかの事故が起きると、企業価値には大きく影響が出るでしょうね。

田辺: まさにおっしゃる通りです。そのため、われわれも個人情報保護法のためのガイドラインは工夫しました。いままでのように抽象的な書き方をしているガイドラインではなく、具体的な対策の事例を多く取り入れ、定義も明確に行っています。その中で監査制度についても触れており、「継続的に安全対策に取り組むために、監査を計画して実行していくことが望まれる」と言及しています。

井上: 個人情報保護法については、施行まで待ったなしの状態ですね。企業も、国の動向やガイドラインを注目しているのではありませんか。

井上: 田辺氏:そうです。個人情報保護法を含め、企業のセキュリティ対策について、われわれが策定したガイドラインや制度が一助になればいいなと思っています。

(第3回に続く)
----

インシデント: 情報セキュリティ上の事件・事故のこと

情報セキュリティ監査協会: 「情報セキュリティ監査制度」の浸透を図るため、2003年10月に正式発足したNPO法人

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]