情報セキュリティガバナンス

情報セキュリティガバナンスとは、経営陣やCISOと呼ばれる情報セキュリティの最高責任者が中心となって、組織における情報セキュリティへの取り組みを指導したり、管理したりすることを言います。具体的には、まず自社の事業戦略を踏まえて情報セキュリティやリスク管理に関する組織全体の方針を定め、その方針に沿って対策が行われているかどうか、また意図した効果が得られているかどうかをモニタリングし評価することを通じて、情報セキュリティの取り組み・体制を取りまとめることを目指します。

経済産業省は、情報セキュリティガバナンスを「コーポレートガバナンスと、それを支えるメカニズムである内部統制の要素を情報セキュリティの観点から企業内に構築・運用すること」であると位置付けています。

• コーポレートガバナンス：企業経営を規律するための仕組み。経営陣の監督、透明性の確保、株主の権利保護などを通じて、株主や顧客、地域社会等の外部に対しても責任を果たせるような形で企業統治を行うことを目指す。
• 内部統制：業務を適切かつ効率的に進めること、財務報告における不正や誤謬を防ぐこと、法令を確実に遵守すること、また自社の資産を保護すること、の4点を徹底するための仕組み。コーポレートガバナンスの確立に欠かせないプロセスと位置付けられている。

企業が情報セキュリティに取り組む際には、自社の情報資産に関するリスク管理や、個人情報保護法をはじめとする関連法令・規制順守の徹底が主に重視されるのが一般的です。しかしそれだけでなく、たった1つの企業でITに関わる事故が発生しただけでもその影響が社会全体に及び得る現代のようなIT社会では、各企業がこのIT社会を構成する一員であるとの意識を持って対策に取り組むことも求められるようになっています。この社会的責務の遂行と情報セキュリティ強化の両立を実現するために、「社会的責任にも配慮したコーポレートガバナンスと内部統制の要素を情報セキュリティの観点から企業内に構築・運用すること」、つまり「情報セキュリティガバナンスを確立すること」が必要であると経済産業省は述べています。

情報セキュリティガバナンスを確立するための枠組みは、「情報セキュリティガバナンスのフレームワーク」と呼ばれ、以下5つの活動で構成されています。

①方向付け（Direct）：

「方向付け」は、経営戦略やリスク管理の観点から、全体の方向性を打ち出す

②モニタリング（Monitor）：

「方向付け」した内容が適切であるか、達成状況、適用状況の実情を適時に把握する

③評価（Evaluate）：

モニタリングで得られた情報を踏まえ、方向付けの妥当性を評価する

④監督（Oversee）：

経営陣の提示した方針・目的・目標が実際に運用されているかを定期的に検証し、不備があれば改善を促す

⑤報告（Report）：

経営陣が株主や取引先、顧客、従業員、社会全体を含めたあらゆる利害関係者に対し、リスク管理の責任者として、情報セキュリティに関わるリスク管理の状況について報告する

情報セキュリティガバナンスのさらに詳しい解説については、こちらの記事をご覧ください：

「情報セキュリティガバナンスとは：導入の効果や実践のプロセスを解説」