|
情報セキュリティ監査の質を保証する仕組み
――これまでの制度やガイドライン、監査について、どのような点を補完していこうとなさっているのかを詳しく教えていただけますか。
田辺: 例えば制度としては、2003年4月に始まった情報セキュリティ監査制度があります。現段階ではまだ“助言型”がメインだと思いますが、これを“保証型”を中心とした、より信頼性の高いものにしていきたいと思っています。これが例えば有価証券報告書に情報セキュリティについての項目を入れるといったことになると、セキュリティ対策はどんどん進んでいくと思っているんです。
井上: 第1回で田辺さんが述べられたように、監査の質というのも大切です。「日本セキュリティ監査協会」では、監査の質(高い倫理観、高い専門的な能力)が一定水準以上であることを担保する仕組み作りを目的としています。つまり、「この監査法人が行ったから、この監査報告書は信用できる」といった仕組み作りですね。そのためには、これも前回に述べた通り、監査技術の向上、監査主体の質の向上(監査人のスキルアップ、監査人資格のあり方等)が必須になります。
田辺: 資格や試験といった制度は大変重要ですね。例えば国の資格では、情報処理技術者試験というものがあり、IT技術者のスキルを客観的に判断できる指標があるのですが、セキュリティも同じ方向性が求められますね。特に監査制度については。
井上: そうですね。国主導で、セキュリティ監査の技術を保証する制度を作るのは大変意義があると思います。その一方で、例えば情報処理技術者試験に対して民間のベンダー資格があるように、民間で情報セキュリティ監査人資格制度の設計・運営が行われてもいいのかなとも思います。国が引っ張っていく一方、われわれ日本セキュリティ監査協会が民間の立場で民間主導に引き戻す、という二人三脚体制が必要なのではないでしょうか。
田辺: 日進月歩の技術革新の中、セキュリティに関しては「種をまけば、いつか森になるだろう」という待ちの姿勢では追い付かないんですよ。種から積極的に芽を出して、森にしていくドライビングフォースとして、国がお手伝いできれば幸いですね。
情報セキュリティ対策が企業の格付けにも影響
――監査制度について、「助言型から保証型にしたい」というお話がありましたが、そうなると、企業に対する格付けにもかなりの影響が出てきそうですね。
田辺: 世の中の意識の高まりを見ていると、これまでの施策を見直す時期に来ていると思います。つまり、「セキュリティ対策は、こうあった方がいいですね」という助言ではなく、「具体的に何をどこまで、どうすればいいのか」とか「もしその対策を怠ればどうなるのか」といったことにまで言及する必要が出てきたのですよ。
井上: “見直しの時期”というのはよく理解できます。監査する立場からいうと、例えばこれから施行される個人情報保護法と絡めた形で情報セキュリティ監査を考える必要が出てきましたからね。そういう意味で、「どんなリスクに対して」という網羅性と、「どこまでやればいいか」という十分性の2つを体系化する時期に来ています。現に、情報セキュリティ事故が企業にもたらす影響力というものがあるわけですから、企業としても監査する立場としても、その影響力をしっかり認識しないといけませんね。
田辺: その通りです。監査というものを深く検討していくと、やはり監査報告書を何らかの形で開示することで企業価値を維持していくという方向性が見えてきたのです。もちろん、すぐにとは言いませんが、将来的には企業の格付けにも情報セキュリティ監査が影響していけば、企業側の情報セキュリティ対策は速やかに進んでいくと考えています。
井上: 近い話題でいえば、個人情報保護法の施行にも同じことがいえると思いますよ。これまで個人情報流出については民事責任だったのですが、法の施行により刑事責任が問われるようになるわけですから、何らかの事故が起きると、企業価値には大きく影響が出るでしょうね。
田辺: まさにおっしゃる通りです。そのため、われわれも個人情報保護法のためのガイドラインは工夫しました。いままでのように抽象的な書き方をしているガイドラインではなく、具体的な対策の事例を多く取り入れ、定義も明確に行っています。その中で監査制度についても触れており、「継続的に安全対策に取り組むために、監査を計画して実行していくことが望まれる」と言及しています。
井上: 個人情報保護法については、施行まで待ったなしの状態ですね。企業も、国の動向やガイドラインを注目しているのではありませんか。
井上: 田辺氏:そうです。個人情報保護法を含め、企業のセキュリティ対策について、われわれが策定したガイドラインや制度が一助になればいいなと思っています。
(第3回に続く)CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス