バリューチェーン全体のセキュリティ水準向上を図る
「エンタープライズ・データセキュリティ・スタンダード」という考え方

　第2回（ISMSをベースにしたアプローチの限界）でも述べたが、昨今、企業のデータ処理は必ずしも1社の社内ステムの中だけで完結する時代ではない。そのため、サプライチェーン、もしくはアウトソーシングを含めた付加価値を創造するバリューチェーン全体を見渡したセキュリティ対策がこれから一層重要になる。

　エンタープライズと呼ぶにふさわしい大手企業では、すでにISMSの導入が一巡している現在、下請け企業や関係企業に広がるサプライチェーン全体のセキュリティ水準の向上が次なる課題だからだ。

　その具体的な推進策として、取引先を含めたグループ企業間でデータセキュリティ・スタンダードを共有する「エンタープライズ・データセキュリティ・スタンダード（以下、eDSS）」という考え方を提唱したい。

　サプライチェーンにかかわる関係各社が、共通したセキュリティ水準（eDSS）を実装していることが確認されれば、そのサプライチェーン全体でも最低限のセキュリティが確保されていることになる。結果的に、自社の株主をはじめ、ステークホルダーや第三者への説明に用いることも可能になるだろう。

eDSSにおけるセキュリティポリシーの共有

　また、特別編（PCI DSS1.2の概要--フロリダで開催の総会レポート）でもご紹介したPCI DSSの原則「不必要なデータは持たない、重要なデータは保護する」は、シンプルだが、eDSSを考えるうえで非常に重要だ。さらに、「重要情報の特定セグメントへの隔離」も重要な原則だろう。この2つのPCI DSSの原則は、システムの設計段階から考慮される必要がある要求事項でありながら、従来のシステム開発の現場では、ほとんど考慮されてこなかったのが現実ではないだろうか。

　eDSSを実効性の高いセキュリティ基準とするためには、関係各社がシステム設計を行う際に、共通のポリシーとして、まずはこうした基本的な原則が実践される必要があるだろう。