情報セキュリティガバナンス

情報セキュティガバナンスとは、経営陣やCISOと呼ばれる情報セキュリティの最高責任者が中心となって、組織における情報セキュリティへの取り組みを指導したり、管理したりすることを言います。

具体的には、まず自社の事業戦略を踏まえて情報セキュリティやリスク管理に関する組織全体の方針を定め、その方針に沿って対策が行われているかどうか、また意図した効果が得られているかどうかをモニタリングし評価することを通じて、情報セキュリティの取り組み・体制を取りまとめることを目指します。

経済産業省は情報セキュティガバナンスを「社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」と定義しており、その役割として以下の3つを挙げています。

＜情報セキュリティガバナンスの役割＞
①リスク管理：情報資産に対するリスクを特定・評価し、被害を最小化するための方針や仕組みを整えること。
②法令遵守：個人情報保護法や業界規制など、関連する法令や規制等を確実に守る体制を整えること。
③社会的責任の遂行：顧客や社会の信頼に応え、適切な情報保護と透明性ある説明を通じて責任を果たすこと。

情報セキュリティガバナンスを確立するためには、「情報セキュリティガバナンスフレームワーク」と呼ばれる以下5つの活動を実施する必要があります。

＜情報セキュリティガバナンスフレームワークの5つの要素＞
①方向付け（Direct）：経営戦略やリスク管理の観点から、全体の方向性を打ち出す。経営戦略やそれに基づくリスク管理の方針を決定し、それに基づいてCISOが情報セキュリティの目的および目標を設定。管理者層はこれを受けて、情報セキュリティ管理目的と管理策を策定・実施する。

②モニタリング（Monitor）：経営陣、CISO、管理者が、それぞれ方向付けした内容が適切であるかを確認する目的で達成状況や適用状況をモニタリングする。

③評価（Evaluate）：モニタリングで得られた情報に基づいて方向付けの妥当性を評価する。評価の上で見直しが必要と判断された場合は、このフィードバックを踏まえて改めて方向付けを行い、新たな方針のもとで再度モニタリングおよび評価の過程を繰り返す。

④監督（Oversee）：外部役員や内部監査などが経営陣の提示した方針・目的・目標が実際に運用されているかを定期的に検証し、不備があれば改善を促す

⑤報告（Report）：経営陣が社内外のあらゆる利害関係者に対し、情報セキュリティに関わるリスク管理の状況について報告する