- ありがとうございます!
- いいね!した記事一覧をみる
会員になると、いいね!でマイページに保存できます。
近年、大規模な個人情報漏えい事故が多発しており、企業における情報セキュリティ対策が社会的な関心事項となっている。一方で、2015年6月1日、東京証券取引所が上場企業に対して、コーポレートガバナンスの実現に向けた主要原則となる「コーポレートガバナンス・コード」の適用を開始した。デロイト トーマツ リスクサービス マネジャーの森島直人氏は、個人情報管理のさらなる強化を前提とした上で、「情報セキュリティについても、コーポレートガバナンスの向上が社会的に求められるようになってきている」と指摘、「現在の企業には利害関係者に対する情報開示を意識した情報セキュリティ態勢を構築し、運用していくことが求められている」と強調する。
ガバナンスの中心となるのは“外部統制(=モニタリング)”
マネジャー
森島 直人 氏
1つめのコントロールは管理策と呼ばれるもので、業務上してはいけないこと、あるいはしなければならないことを定めた具体的なルールのことだ。次にマネジメントは、たとえばリスクを評価して、ルールの維持管理をしていく仕組みのこと、そしてモニタリングは、組織外の利害関係者が、企業のルール及びその維持管理体制を継続して監視する仕組みのことだ。情報セキュリティの係るガバナンスでは、株主、法人顧客、個人顧客の3者が利害関係者の中心となる。
「ここでいうモニタリングとは、2つめのマネジメントのフェーズにおいて企業内で回すPDCAサイクルのチェックに相当するものではなく、社外の利害関係者が企業をモニタリングしていく、あるいは企業の情報セキュリティ体制に対する要請を発信し、企業がそれをキャッチする関係性のことを指す。ガバナンスにおいては、この“外部統制”が重要な機能で、実は最近ではこのモニタリングの部分を指して、ガバナンスということが多くなってきている」
現在では経営者が結果責任を問われやすい環境にあり、攻めの経営判断を下すことが非常に難しい状況だ。たとえば収益拡大のために新しい個人情報の収集を伴う事業を開始する場合や、コスト削減のためにクラウドサービスやBYODの導入を検討する場合、情報漏えい時の結果責任追及を想定してやっぱり止めようという話にもなりかねない。
「そこで普段から利害関係者と積極的なリレーションを構築しておくことで、自分たちの情報セキュリティに対する考え方を伝えると同時に、それに対してフィードバックをもらってセキュリティ対策に反映していくことも可能となる。それが企業価値の向上と、有事における企業価値の毀損を低減していくことになり、ひいては経営者を結果責任から守ることにも繋がる。そのためにも利害関係者を巻き込んでいく必要がある」
情報セキュリティにおけるガバナンスの仕組みは、3つの軸で整理する
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
