Comments
Description
Transcript
企業グループにおける情報セキュリティガバナンスモデル
情報セキュリティガバナンス導入ガイダンス 補足編 ~ 企業グループにおける情報セキュリティガバナンスモデル ~ 平成 23 年 3 月 株式会社三菱総合研究所 はじめに 経営陣においては、自らの経営課題の一つとして、機密性、完全性、可用性の観点から 見た情報資産 1 と関連する資産 2 に係るリスク管理を捉え直すことが重要である。 そのためには、様々なリスクのうち、情報資産に係るリスクの管理を狙いとして、情報 セキュリティに関わる意識、取組及びそれらに基づく業務活動を組織内に徹底させるため の仕組み(経営者が方針を決定し、組織内の状況をモニタリングする仕組み及び利害関係 者に対する開示と利害関係者による評価の仕組み)を構築・運用する、すなわち情報セキ ュリティガバナンスの確立に取り組むべきである。 経済産業省では、企業における情報セキュリティ対策を、従来の対症療法的なアプロー チから、企業価値を高めるための投資対象として位置付けるアプローチの重要性・優位性 を示すため、平成 16 年度に「企業における情報セキュリティガバナンスのあり方に関する 研究会」を開催して情報セキュリティガバナンスの考え方を示した。続けて、平成 17、18 年度と、情報セキュリティガバナンス確立実現の促進ツールとして、 「情報セキュリティ対 策ベンチマーク」、「情報セキュリティ報告書モデル」及び「事業継続計画策定ガイドライ ン」を開発・公開し、これらの活用事業を推進してきた。平成 19 年度からは、リスク管理 の必要性を軸に、情報セキュリティガバナンスの定義を明確化するとともに、情報セキュ リティガバナンスの確立を妨げる問題点に焦点を当て、その解決策の指針となる成果を策 定してきた。 さらに、平成 21 年 6 月には、経営陣が取り組むべき行動の指針として、経済産業省から 「情報セキュリティガバナンス導入ガイダンス」 3 が公表された。同ガイダンスで示された 情報セキュリティガバナンスのフレームワークは、ISO/IEC 4 27014 として現在国際標準化 に向けた検討が進められている。 本書は、同ガイダンスに基づき、情報セキュリティガバナンスの実装を進める上で顕在 化してきたいくつかの課題について、適切な対応のあり方を提示する補足資料である。 1 組織にとって価値をもつ情報(企画、製品開発や営業などの情報、顧客情報、知的財産などのデータベース、資料等) 情報を可用化するための環境。ソフトウェア(アプリケーション、システムソフトウェア、ユティリティ) 、ハードウ ェア(コンピュータ装置、通信装置、メディアなど)等 3 http://www.meti.go.jp/press/20090630007/20090630007-2.pdf 4 ISO(International Organization for Standardization: 国際標準化機構)及び IEC(International Electro technical Commission: 国際電気標準会議) 2 目 1. 次 本書の利用について ...................................................................................................... 1 1.1. 本書の狙い ............................................................................................................. 1 1.2. 本書の検討対象 ...................................................................................................... 1 1.3. 本書の利用者 .......................................................................................................... 2 2. 基本的な考え方 ............................................................................................................. 3 3. 企業グループの情報セキュリティガバナンス ............................................................... 6 3.1. 資本関係に基づくグループ .................................................................................... 6 3.2. 契約関係に基づくグループ .................................................................................. 12 3.2.1. サプライチェーン.......................................................................................... 13 3.2.2. 企業コミュニティ.......................................................................................... 16 3.3. 4. 5. その他特殊なグループ.......................................................................................... 19 企業グループによる外部サービスの活用 .................................................................... 21 4.1. クラウドサービス ................................................................................................. 21 4.2. ソーシャルメディアサービス ............................................................................... 24 まとめ .......................................................................................................................... 25 i 1. 本書の利用について 1.1. 本書の狙い 企業では、情報管理に係るトラブルの影響の拡大、内部統制やリスク管理体制の重要性 の高まりを背景に、情報セキュリティガバナンスの確立が懸案事項になりつつある。情報 セキュリティガバナンスの確立を進めることで、情報セキュリティ計画や情報保護の品質 向上に加え、他部門の責任者の理解、幹部の支援といった点にも効果が期待できる 5 。さ らに、企業ブランド価値の維持・向上といった効果を期待する取組も見られる。 企業における情報セキュリティガバナンスの確立には、経済産業省「情報セキュリティ ガバナンス導入ガイダンス」 (2009/06)が参考になるが、その中では明確にされていない 課題として、企業グループの統治・統制が挙げられる。企業グループにおいては、横断的・ 統一的な情報セキュリティ対策の実施は難しい。なぜなら、グループ各社の事業内容や組 織体制、IT 投資の状況等が異なり、リスクの所在が様々であること、また、グループ各社 は組織体として独立した存在であり、情報セキュリティにかけられる予算や人手にも差が あることがその理由である。さらに、国や地域が異なる企業がグループを構成している場 合、法制度や商慣習、モラル・文化も異なることを前提としなければならない。加えて、 M&A により、考え方が全く異なる企業が突然同じグループとして連携しなければならな いこともありうる。 その一方、グループ傘下の子会社において情報セキュリティ上の事故が発生すれば、企 業グループにおいて共有するブランドの信用が損なわれるなど、その影響は企業グループ 全体に波及する可能性がある。 そこで、企業グループにおける実効的な情報セキュリティガバナンスのモデルを提示し、 適切な企業グループの統治・統制の実現に資するものとする。 1.2. 本書の検討対象 本書で検討対象とする「企業グループ」を、以下のように捉える。これらは、企業グル ープを捉える見方が複数あることを意味するが、それぞれが排他的な関係にあるわけでは ない。一つの企業グループが複数の特徴を備えることもありうる。 (1) 資本関係に基づくグループ 親会社・子会社・関連会社など、資本関係に基づき形成される企業群は、代表的な企業 グループの形態である。本社の経営陣から見た場合、連結決算対象の企業群に対してはき め細かなグループ企業の情報セキュリティを統制することが必要と考えられる。ただし、 M&A 等で新規に統合した子会社は、システムインフラや情報管理体系が大きく異なるこ とが多く、統制が難しい。また、グループ会社で情報漏えい等の事故が起きた場合には、 グループ全体の信用やブランド価値に大きな影響を及ぼす。したがって、連結決算対象の John P. Pironti, “Information Security Governance: Motivations, Benefits, and Outcomes”, ISACA Information Systems Control Journal 2006 5 1 企業群に情報セキュリティガバナンスを確立し、適切かつ効率的に運営することが有効で ある。 (2) 契約関係に基づくグループ 業務委託等の契約関係に基づき形成される企業群も、企業グループとして捉えることが できる。たとえば、サプライチェーンのように、一連の業務プロセスを分担し合う重要な ビジネスパートナーで構成された企業グループもある。また、マーケットプレイスや共通 のブランド等を軸に企業群が形成されるケースでは、ブランド価値を守るため、参加企業 群が情報セキュリティに関する適切な取組を求められる。契約関係に基づく場合、関係企 業群が共通のルールを適用することは難しい場合もあるため、情報セキュリティガバナン スの確立に工夫が求められる。 (1)の場合、親会社は資本多数決を握っている子会社に対し、人事や予算の裏付けを持っ て情報セキュリティ対応を要請することが可能である。一方、(2)の場合、取引相手に対応 を求める拠り所が契約や情報共有に限られるため、統制がより難しいといえる。 (3) その他特殊なグループ 背景や環境から、(1)(2)の整理だけでは扱いにくいグループにも注目する。歴史的経緯や 縁故関係等によって結び付いている企業グループの場合、(1)のような資本関係に基づくグ ループほどの団結力はなく、統制が難しい。また、建設・土木業界等におけるジョイント ベンチャー(JV)は、資金や人を供出する JV 構成会社が同業社であり、情報の管理や共 有が難しいケースがある。さらに、海外現地法人との合弁会社のように、実効的な統制が 困難なケースがある。 また、企業グループの各社が共同で外部サービスを利用する場合の統制も、論点として 採り上げる。 (4) 企業グループで外部サービスを利用する場合 企業グループ全体の合理化・効率化のために、外部サービスを活用して共通の IT 環境 を整備することも考えられる。その場合、特に、クラウドやソーシャルメディア等の新し い IT サービスは、自由度が高くコストメリットも大きい反面、利用が容易なため統制が 利きにくい点が懸念される。 1.3. 本書の利用者 上記の想定利用者層は以下のとおりである。 ・自グループ全体のリスク管理に取り組む経営陣の方 ・自グループ内の情報セキュリティガバナンスの確立を進める立場にある経営企画、リ スク管理、総務、IT 管理等の部門の方 2 2. 基本的な考え方 企業グループを統括する企業は、グループ全体としての利益と個別企業の利益のバラン スを検討し、グループ経営の観点からビジネス戦略を立てることが要求される。それに合 わせて、リスク管理もグループ単位で検討し、最適化を図るケースが見られる。 企業グループの特徴や形態に応じて、最適なリスク管理のあり方は異なる。すなわち、 企業グループにおける情報セキュリティガバナンスとは、グループ企業の多様性を乗り越 えてリスク管理のための統制を確立することに他ならない。 情報セキュリティガバナンスの適用に際しては、企業グループの特徴や運営方法によっ て調整が必要になるが、原則として経済産業省「情報セキュリティガバナンス導入ガイダ ンス」に示した5つの機能(方向付け、モニタリング、評価、説明 6 、監督)をベースに 検討すべきである。特に、 「方向付け」や「モニタリング」を実現するにはグループのリー ダー企業と傘下の企業群との連携が必要となるが、そうした連携を確立するのは容易では ない。たとえば、親会社・子会社の場合でも、グループ各社の担当者にとって報告義務が あるのは自社の上長(責任者)であって親会社ではないため、自社に都合の悪い事実が親 会社に正確に報告されない可能性もある。したがって、職務命令として親会社への報告を 担当者に義務付けるといった方法で、親会社と子会社等の間を結ぶ報告ラインを確立する ことが重要となる。 ① 方向付け(Direct) グループ全体の事業方針やグループ各社の事業戦略を考慮した上で、グループで共有 する情報セキュリティの基本方針(グループ方針)を定める。グループ方針では、グル ープ各社が遵守すべき最低限の必須事項と、グループ各社の特性に応じて対応する事項 を明確に分類して、それを共通理解とすることが望まれる。具体的には、以下のような 事項が中心となる。 - グループ共通の情報セキュリティ目的・目標(最低限到達すべきレベル) - 情報セキュリティ目標の達成度に係る評価指標の設定 - 国・地域別、業種別カスタマイズの許容範囲 - 重要な情報の分類方法もしくは分類に関する方針・考え方の共通化 - 資源管理の方針(セキュリティ投資、人材育成、共同 CSIRT 等)等 情報セキュリティ目的には不変な事項(例:顧客情報を守る)、情報セキュリティ目標 は状況に応じて変更可能な事項(例:情報の無断持ち出しを困難にする効果的な方策を 実装する)を設定することが望ましい。評価指標を減点方式の項目(例:トラブル発生 件数)にすると、発生そのものを隠す方向に向かう可能性があるので留意する。 共有すべきグループ方針やグループ各社の裁量の範囲は、企業グループのタイプによ って異なる。グループ方針をグループ各社に徹底するために、たとえば、グループ各社 6 経済産業省「情報セキュリティガバナンス導入ガイダンス」では「報告(Report) 」とされていたが、ISO/IEC27014 (Governance of Information Security) の検討では「説明(Communicate)」に変更される見込みであるため、本書 では「説明」と記載する。 3 のCISO(Chief Information Security Officer) 7 を集めた会議(以下、「責任者会議」と いう)において必要な事項を提示し、関係者間の意識統一を図る方法がある。 【CISO について】 CISO は、一般に、情報セキュリティを統括する最上位の責任者として経営陣から任命 された者であり、経営層に近い立場で情報セキュリティ活動を指揮し、社長・CEO(Chief Executive Officer: 最高経営責任者)などへの報告や CIO(Chief Information Officer: 最 高情報責任者)との協議を行う。本人が役員であることは必須ではない。 情報セキュリティガバナンスにおける CISO は、経営者のリスク管理方針を受けて、情 報セキュリティ目的・目標を設定し情報セキュリティ管理者に提示するとともに、情報セ キュリティ管理者からの報告を受けて、経営者に報告する、という形で、経営者と情報セ キュリティ管理者及び従業員層の間をつなぐ役割を担うキーパーソンである。 また、情報開示の一環として、経営者が情報セキュリティの取組について利害関係者に 報告することをサポートするのも CISO の重要な役割である。 企業グループの中には、グループ全体の情報セキュリティを統括する CISO を設置して いるケースも見られる。 ② モニタリング(Monitor) グループ方針に基づき、グループ各社の現状や全体としての情報セキュリティ目標の 達成度評価に必要な情報を収集する。実際には、グループ各社の CISO やその傘下にあ る担当者に対し、自社の状況や親会社の要請に対応した結果を報告することを義務付け ることが重要である。 [現状把握のための事項の例] - グループ各社の情報管理の分類と情報の取扱いルール - グループ各社の資源管理の現状(予算、人材、機器等) - グループ各社の情報セキュリティ事故(ヒヤリハットを含む)の発生状況・被 害規模 等 [情報セキュリティ目標の達成度評価のための事項の例] - グループ共通のセキュリティ目的・目標の達成状況 - 国・地域別、業種別にカスタマイズした目標の達成状況 - 情報セキュリティ事象に関する報告 - 情報セキュリティ事象に関する予兆の検出 等 情報収集の方法としては、たとえば以下のものがある。 - 責任者会議等におけるグループ各社からの報告 - グループ各社のセルフチェックシートの回収 - 本社からの監査、調査 7 「情報セキュリティ対策を実施する上での責任者となる最高情報セキュリティ責任者」 (「人材育成・資格制度体系 化専門委員会報告書」情報セキュリティ政策会議,2007/01)。詳細はコラム欄参照。 4 - モニタリングツール等によるログデータ収集 等 ③ 評価(Evaluate) 最低限必要な情報セキュリティ目標の達成度評価指標に基づいて、グループ各社の情 報セキュリティ目的・目標の達成状況を評価し、グループ全体として改善すべき点を明 らかにする。 また、グループ方針そのものの妥当性についても評価し、必要に応じてグループ方針 の見直しに資する。 ④ 説明(Communicate) 企業グループとしての方針や取り組みをグループの代表企業が利害関係者に説明し、 利害関係者の評価や要望を収集する。説明方法としては、たとえば以下のものがある。 - 情報セキュリティ報告書 8 - CSR 報告書の一部として公表 - 有価証券報告書のリスク情報の一部に記載 - 監査報告書 また、グループ内で情報流出やシステムダウンによる事業中断等の事故が発生した場 合には、利害関係者やマスコミに対する迅速かつ適切な説明(事故の概要、原因、被害 影響、復旧見通し、再発防止策等)が極めて重要になる。 ⑤ 監督(Assure) 9 グループ各社に対し、上記の統制の適切性に関する内部監査・外部監査を実施するこ とが望ましい。その際には、共通の監査項目をどのように設定し、共有するかが課題と なる。 さらに、内部監査についてはグループ内で共通した監査チームを設置すること、外部 監査でグループ企業の監査法人が異なる場合には、監査法人間の連携等についてあらか じめ検討・実施しておくことが有効である。 8 複数の企業グループから情報セキュリティ報告書が公表されている。 経済産業省「情報セキュリティガバナンス導入ガイダンス」では「監督(Oversee)」とされていたが、ISO/IEC27014 (Governance of Information Security) の検討の中で「監督(Assure)」に変更される見込みであるため、本書では これを採用する。 9 5 3. 企業グループの情報セキュリティガバナンス 3.1. 資本関係に基づくグループ 大企業では、金融商品取引法の影響で、財務情報について連結決算対象企業に係る横断 的な統制が進展した。しかし、情報セキュリティについては、グループ各社の環境が異な ることもあって横断的な取組の必要性について充分に認識されていなかったため、各社の 状況把握も十分になされていないケースが多い。 (1) 対象 本章の「企業グループ」は、連結決算対象となる「親会社・子会社・関連会社」とする。 これらは金融商品取引法で規定されているほか、会社法でも定義されている( 表 3-1参照)。 ただし、会社法上、内部統制システムの一環として整備が求められるのは「親会社及び子 会社から成る企業集団」であり、関連会社は含まれないが、企業の事業活動において、関 連会社を含む連結企業グループの経営戦略を検討することは妥当と考えられる。そこで、 本章では、そうした関連会社を含む連結決算対象を企業グループの単位とする。 表 3-1 法制度 分類 親会社 子会社 関連会社 資本関係に基づく親会社・子会社・関連会社の定義 金融商品取引法・財務諸表等規則 会社法施行規則・会社計算規則 他の会社等(会社、組合その他これら に準ずる事業体(外国におけるこれら に相当するものを含む。))の財務及 び営業又は事業の方針を決定する機関 (株主総会その他これに準ずる機関) を支配 * している会社等。 [財務諸表等規則 8 条 3 項] 会社等が株式会社の財務及び事業の 方 針 の 決 定 を 支 配 *し て い る 場 合 に お ける当該会社等。 [会社法 2 条 4 号・ 会社法施行規則 3 条 2 項] 他の会社等によってその財務及び営業 又は事業の方針を決定する機関を支配 されている会社等。親会社及び子会社 又は子会社が、他の会社等の意思決定 機関を支配している場合における当該 他の会社等も、その親会社の子会社と みなす。 [財務諸表等規則 8 条 3 項] 会社が他の会社等の財務及び事業の 方針の決定を支配している場合にお ける当該他の会社等。 [会社法 2 条 4 号・ 会社法施行規則 3 条 1 項] なお、他の会社の議決権の割合を論じ る際、「自己」に子会社及び子法人等 が含まれることから、孫会社等も子会 社とみなす。 [会社法施行規則 3 条 3 項] 会社(当該会社が子会社を有する場合 には、当該子会社を含む)が、出資、 人事、資金、技術、取引等の関係を通 じて、子会社以外の他の会社の財務及 び営業又は事業の方針決定に対して重 要な影響を与えることができる場合に おける当該子会社以外の他の会社等。 [財務諸表等規則第八条第五項] 会社が他の会社等の財務及び事業の 方針の決定に対して重要な影響を与 えることができる場合における当該 他の会社等(子会社を除く。)。 [会社計算規則 2 条 3 項 18 号] 6 *) 会社法施行規則 3 条より「支配」とは以下のいずれかに該当する場合をいう。 ①議決権の所有割合(子会社等含む)50%超 ②議決権の所有割合(子会社等含む)40%超 かつ下記のいずれかに該当 イ 自己所有等議決権数割合(自己の計算分、緊密な関係者の所有分、同一内容の議決権行 為に同意している者の所有分の合計)50%超 ロ 取締役会等の構成員の過半数が自己の役職員等 ハ 重要な財務・事業の方針の決定を支配する契約等 ニ 融資比率(債務保証等含む)50%超 ホ その他重要な財務・事業の方針の決定を支配していることが推測される事実の存在 ③自己所有等議決権数割合 50%超(自己の計算分ゼロの場合を含む) かつ 上記ロ~ホの いずれかに該当 (2) 問題意識 企業グループにおいて最も重視すべきは企業ブランドの価値であり、それを高めるには グループの求心力や価値観の共有が必要となる。そこで、情報セキュリティ等のリスク管 理をグループで対応することにより、全体の信頼感を高めるとともに、グループ共通の求 心力や価値観を形成し、企業ブランドの価値の維持・向上をめざすことが考えられる。た だし、そうした取組を進めるためには次のような問題が障壁となる。 ●規模・業種・文化の多様性 ・子会社や関連会社の規模、業種等が多様な場合、予算や人材が異なり、統一的な方針 やルール、対策の適用は現実的ではないケースもある。特に業種によって、法制度等 の規制や取引先・顧客層等が異なるため、セキュリティ要件は一律にならない。 ・M&A 等で新規に統合した子会社は、システムインフラや情報管理体系、また企業文 化が大きく異なることが多く、IT に関連する統制が難しい。情報セキュリティガバナ ンスのプロセスを統合するべきかどうかについて、そのコストとリスクのバランスを 見極める必要がある。 ・情報セキュリティのリスクはビジネスの内容によって異なるため、それらの違いがグ ループ内で共通に認識されていないと、相互依存から来る新たなリスクに適切に対応 できない可能性がある。 ・グループ内の IT 投資や情報セキュリティ投資の整合性を考慮せず、部分最適で進め ると、全体としての費用対効果が低下する可能性がある。 ●海外子会社・関連会社の地域性 ・海外の子会社や関連会社において、国内と同水準のセキュリティ環境を確保すること は難しい。その理由として以下の項目が挙げられる。 - 政府の規制、基準の違い - 方針、規程等の翻訳に伴うニュアンスの違い - 従業員のロイヤリティ、帰属意識の違い - 従業員の情報管理や知的所有権に関する意識の違い - 地政学的リスク(戦争・紛争、テロ、犯罪、災害 等) - 宗教、文化、民族の違いによる意識や価値観の違い - 多言語、多民族から構成されている場合のコミュニケーションリスク 7 ・日本人や日本でのみ通用するような情報セキュリティガバナンスを展開しても、海外 の子会社や利害関係者に理解されない。 ・国や地域によって異なるルールを適用すると、人種差別と捉えられる可能性がある。 (3) 経営陣・CISO が取り組むべき方向 ①モデル 資本関係に基づくグループの場合、親会社が資本多数決を握る形が多いことから、人事・ 予算等の権限を用いることで統制が可能な構造にある。さらに、情報セキュリティガバナ ンスにおいては、情報へのアクセス権をグループの統制手段として適用することも可能で ある。そこで、そうした権限構造を前提に、企業グループにおける情報セキュリティガバ ナンスモデルを検討すると、 図 3-1のように整理できる。 (a) は、グループの情報セキュリティに関する権限をリーダー企業(親企業)に集中し、 グループ内の各社(子会社)は自らの統制構造を持たないモデルである。各社(子会社) は意思決定をリーダー企業に任せて、その指示のとおりに活動する。 (b) は、グループの情報セキュリティに関する権限を各社に委譲し、リーダー企業を含 むグループ内の各社がそれぞれ自らの統制構造を有するモデルである。グループ全体とし ての意思は、各社の代表が参加するグループ横断的な会議体において合議の上決定する。 (c) は、グループの情報セキュリティに関する権限はリーダー企業(親会社)が握るが、 その一部をグループ各社(子会社)に委譲し、それぞれが自らの統制構造を有するモデル である。各社は自らの組織について一定の範囲で意思決定し統制する裁量が与えられてい るが、グループ全体としての意思統一が必要なレベルの決定事項については、リーダー企 業がグループ各社に方針を示す。 なお、(b)や(c)のように権限を子会社に委譲する場合、子会社にはその実施状況について 親会社に報告する義務を課す必要がある。 もちろん、実際には(a)(b)(c)の間に位置づけられるような中間的なケースもありうる。 こうしたモデルの適性は企業グループのタイプによって異なるため、自らのグループのタ イプを勘案してモデルを選択することが望ましい(詳細は次節参照)。 8 リーダー企業 Group-ISG Communicate グループ全体 をガバナンス する組織 Monitor ISG: Information Security Governance Group-ISM ISM: Information Security Management Direct グループ全体 をマネジメント する組織 ISM Assure Evaluate ISM ISM ISM ISM ISM グループの各組織(子会社等) (a) リーダー企業に権限を集中したモデル リーダー企業 グループ全体をガバナンスする組織(会議体) ISG Group-ISG ISM ISG ISG ISG ISG ISG ISG ISM ISM ISM ISM ISM ISM グループの各組織(子会社等) (b) グループ各社に権限を委譲したモデル リーダー企業 Group-ISG Communicate Assure Evaluate Direct Monitor ISM グループの各組織(子会社等) ISG ISG ISG ISG ISG ISG ISM ISM ISM ISM ISM ISM (c) グループ各社に権限の一部を委譲したモデル 図 3-1 企業グループにおける情報セキュリティガバナンスのモデル例 9 ② 企業グループのタイプ 情報セキュリティガバナンスの確立に向けた適切なアプローチは、企業グループの属性 によって異なると考えられる。そこで、企業グループのタイプを次のように分類し、それ ぞれに適した対応を示す。具体的には、事業の国際性(親会社や子会社等の事業が国際展 開しているか)と事業テーマ(グループ各社が扱う製品・サービスが共通か否か)の2つ の軸を設定し、企業グループを以下の4つのタイプに分類する。 表 3-2 グループ各社が扱う製品/ 企業グループの分類 ドメスティック グローバル 1) ドメス ティック・ 集中 3) グローバル・集中タイプ サービスのテーマが共通 タイプ (集中型) (例) 電力 グループ各社が扱う製品/ (例) 航空、医薬品 2) ドメス ティック・ 分散 サービスのテーマが多様 タイプ (分散型) (例) 鉄道 横断的 対応 4) グローバル・分散タイプ 業種別 対応 (例) 商社 共通化・統一化 地域別対応 1) ドメスティック・集中タイプ 事業を国内に集中している企業グループであり、かつグループ各社が扱う製品・サービ スのテーマが共通のタイプが該当する。事業の基軸となる製品/サービスのテーマが共通で あるため、求められる情報セキュリティ上の規制や要件が近いものとなり、企業グループ 全体としての横断的な統制を適用しやすい。また、地域性への配慮が不要なため、統一的 な基準の適用も考えられる。①に示したモデルでは、 「(a) リーダー企業に権限を集中した モデル」が適している。 この場合、法制度や業界慣習に基づく規制がグループ全体にほぼ一律に及ぶことから、 方向付けで定める情報セキュリティ目的・目標(グループ各社に最低限求められるレベル) や重要情報の分類等を、親会社の基準に近い形で共通に設定することが考えられる。その 際、規模が小さいが業務内容的にリスクを無視できない企業に対して、どのような要求を するか判断が必要になる。 たとえばある通信事業者では、子会社が起こした情報流出事故をきっかけとして、親会 社のレベルに近い情報セキュリティ対策を子会社にも要求しているが、そうした要求を示 すだけでなく、その対策に必要な費用を一部親会社が負担することによって、その積極的 な対応を促している。 また、あるシステム開発事業者は、親会社側でグループ統一の情報セキュリティポリシ ーを制定し、グループ各社がそれぞれの企業規模や事業内容を踏まえて、これに準拠した ポリシーを制定している。 10 2) ドメスティック・分散タイプ 事業を国内に集中している企業グループであり、かつグループ各社が扱う製品・サービ スのテーマが多様なタイプが該当する。子会社の業種が多様であるため、求められる情報 セキュリティ上の規制や要件がグループ各社で異なる可能性があり、企業グループ全体と して統一した取り組みは困難であるが、基本となるものについては統一しつつ、各社の実 態に即した取り組みを実現し、その状況について共通理解を図ることが求められる。①に 示したモデルでは、「(b) グループ各社に権限を委譲したモデル」または「(c) グループ各 社に権限の一部を委譲したモデル」が適している。 この場合、グループ横断的に設定する情報セキュリティ目的・目標のレベルと、業種別 に固有に設定するレベルが矛盾せずに、トータルで妥当なものとなるように設定すること が重要となる。 たとえばある鉄道会社では、地域住民の生活を支える百貨店やホテル、不動産等の様々 な子会社を抱えているが、基本的・原則的なセキュリティ基準を策定し、それをベースに これらの多様な業種のグループ企業を横断的に監査する取り組みに着手している。ただし、 特に個人情報の保有件数が多い子会社については、より丁寧な確認を行う方針である。 3) グローバル・集中タイプ 事業を国際的に展開している企業グループであり、かつグループ各社が扱う製品・サー ビスのテーマが共通のタイプが該当する。国ごとに法制度や規制、商慣習、文化、宗教、 地政学的リスク等が異なるため、統一的な基準の適用が難しい可能性もあるが、2)と同様 に、基本となるものについては統一しつつ、各社の実態に即した取り組みを実現し、その 状況について共通理解を図ることが求められる。①に示したモデルでは、 「(a) リーダー企 業に権限を集中したモデル」または「(c) グループ各社に権限の一部を委譲したモデル」 が適している。 この場合、グループ横断的に設定するセキュリティ目的・目標のレベルと、地域別に固 有に設定するレベルが矛盾せずに、トータルで妥当なものとなるように設定することが重 要となる。その際、国や地域の違いによる差が差別と誤解されないように注意する。また、 国内の基準を海外拠点に押し付けるのではなく、国内と海外の調和を図ることが望まれる。 なお、情報セキュリティガバナンスの国際標準 ISO/IEC27014 の検討が順調に進めば、モ デルを日本だけでなく国際的に適用可能なモデルとして、海外の子会社や利害関係者に展 開することができる。 たとえばあるシステムベンダでは、地域子会社は親会社の提示する共通の基準(グルー プ各社に最低限求められるレベル)に国内法を満たすための要求事項を追加する形で、自 組織の基準を策定している。共通の基準については、要求事項を減らすことは認められな い。また、一つの監査チームがグローバルにグループ企業の監査に回っている。この監査 チームは強い権限を有しており、深刻な問題がある場合には、地域子会社の長に離職を求 11 めるなど、人事にも影響力を有する。このように、強い権限を有する一つの監査チームが 統一の基準で各社を評価して回ることで、グローバルな共通理解の形成にも寄与している。 ④グローバル・分散タイプ 事業を国際的に展開している企業グループであり、かつグループ各社が扱う製品・サー ビスのテーマが多様なタイプが該当する。子会社の業種が多様であるため、求められる情 報セキュリティ上の規制や要件が異なる可能性があり、企業グループ全体としての横断的 な取り組みを徹底させることが難しいと考えられる。また、国ごとに法制度や規制、商慣 習、文化、宗教、地政学的リスク等が異なるため、統一的な基準の適用が難しい可能性も ある。(1)に示したモデルでは、 「 (b) グループ各社に権限を委譲したモデル」が適している。 この場合、グループ横断的に設定するセキュリティ目的・目標のレベルと、地域別・業 種別に固有に設定するレベルとが矛盾せずに、トータルで妥当なものとなるように設定す ることが重要となる。その際、国や地域の違いによる差が差別と誤解されないように注意 する。さらに、国内の基準を海外拠点に押し付けるのではなく、国内と海外の調和を図る ことが望まれる。 たとえば、ある商社では、いくつかの判断基準に基づき、グループの一員としての子会 社と投資先としての子会社を明確に分類し、前者には国・地域に依らない最低限の基本方 針と国・地域の法制度や商慣習に応じた独自のルールの実装を求めるという方法を採って いる。この場合、基本方針は関係国・地域におけるグループ各社の取り組みを集約し、バ ランスをとった構成を実現する必要がある。ただし、セキュリティ以外の統制も十分に機 能しないケースもあることから、セキュリティの共通基本方針についても無理をせず、最 低限の事項に絞り込むことが適当である。 3.2. 契約関係に基づくグループ 業務委託等の契約関係に基づき形成される企業群も、企業グループとして捉えることが できる。たとえば、サプライチェーンのように、一連の業務プロセスを分担し合う重要な ビジネスパートナーで構成された企業グループもある。また、マーケットプレイスや共通 のブランド等を軸に企業群が形成されるケースでは、ブランド価値を守るため、参加企業 群が情報セキュリティに関する適切な取組を求められる。 ただし、これらのグループでは、取引先が自組織の統制下にあるわけではなく、関係企 業群に共通のルールを適用することは難しい場合もあるため、情報セキュリティガバナン スの確立に工夫が求められる。 なお、個々の委託関係における情報セキュリティ管理については、経済産業省「アウト ソーシングに関する情報セキュリティ対策ガイダンス」 10 (2009/06)を参照されたい。 10 http://www.meti.go.jp/press/20090630007/20090630007-4.pdf 12 3.2.1. サプライチェーン (1) 対象 サプライチェーンとは、複数の企業間で統合的な物流システムを構築して、在庫の圧縮 や短納期化を推進することで、競合他社との差別化を図る仕組みである。サプライチェー ンは、従来の親会社・子会社の関係に留まらず、対等な企業群が共通の事業目的の下に相 互連携するケースも少なくない。 (2) 問題意識 サプライチェーンのいずれかでシステムダウン等に伴う事業中断が発生した場合、サプ ライチェーン全体の活動に支障を来す可能性がある。また、サプライチェーンのいずれか で重要情報が流出した場合、製品・サービスの競争力や取引先からの信用を失うことも考 えられる。したがって、サプライチェーンの参加企業には、共通の目的意識のもとで、各々 が必要な情報セキュリティ対策を実施し、グループ全体のリスクを下げる取組が求められ る。これがすなわち、サプライチェーンに情報セキュリティガバナンスを確立することで ある。 しかし、これを実現する際には、次のような問題に直面することになる。 ●サプライチェーン参加企業の責任 ・サプライチェーンを構成する企業各社が制約を受けるのは個々の受委託契約だけで、 グループ全体としての横断的なセキュリティ統制を行う法的根拠が乏しい。 ・サプライチェーンが果たすべき社会的責任の一環として、グループ全体で問題解決に 臨むべきという考え方 11 はまだ一般的ではなく、横断的なセキュリティ統制を行う必 要性が十分に理解されていない。 ・サプライチェーンの一部が海外企業である場合、適用される法律や規制等の違いによ って、情報伝達等に支障をきたす可能性がある。 ●サプライチェーンからの要請への対応範囲 ・サプライチェーンの担当部署は当該企業の全体を代表する立場ではないため、情報セ キュリティ対策等の共通の約束事を企業全体の取組として請け負う権限がない。多く の場合、統制の範囲は担当部署内で実施可能なレベルにとどまる。 (3) 経営陣・CISO が取り組むべき方向 受委託の契約関係に基づき構成されるサプライチェーンの場合、グループの成り立ちが 一つ一つの契約に依存しているため、強制力を伴う横断的・統一的な統制を実現すること は難しい。 11 環境分野では、問題が発生した場合、サプライチェーンに関係する企業全体が連帯責任を担うという考え方があ る。 13 そこで、たとえば、当該チェーンのリーダー企業が主導する形で、受委託契約とは別に、 情報セキュリティの遵守事項を含むチェーン共通の合意形成を図る取組が考えられる。 具体的には、まず、「委託元からの協力要請」として、参加企業各社の現状調査を行い、 その結果からサプライチェーンとして維持すべき最低限の要求水準を決める。この水準は、 参加企業が対応可能なレベルを前提としており、かつ重要情報の管理や事業継続の観点で 見て妥当なものであることが望ましい。次に、事前に参加企業各社の合意を得た上で、要 求水準への対応を要請する。発注元の立場から対応を強要することは優越的地位の濫用に 当たる可能性があることから、その要請には十分に注意する必要がある。 さらに、サプライチェーン各社が要求水準を満たしていることの検証(外部監査を含む) や、事故発生時のサプライチェーン全体としての対応についても、参加企業の合意形成は 不可欠であり、より踏み込んだ関係の構築が求められる。 また、そうした合意形成を促す方法として、共有する情報を制限することが考えられる。 たとえば、未発表の戦略製品の設計情報を共有しサプライチェーンに参加するための条件 として、委託先を含め一定水準以上の情報セキュリティレベルを確保していることを証明 するよう求める、というような形である。この場合、情報セキュリティレベルの維持・向 上に係る動機付け(より付加価値の高いサプライチェーンに参画する)が有効であれば、 効果的な手法となりうる。このような取り組みを経て、適切な情報セキュリティガバナン スがサプライチェーンの中で実現することによって、顧客からの信頼性をさらに高めるこ と等が期待される。 上記を踏まえた、サプライチェーンにおける情報セキュリティガバナンスのモデル例を 図 4-1に示す。リーダー企業のサプライチェーン担当部署からの要請が委託先の担当部署 になされ、当該部署ではそれに対応した対策の実施がなされると同時に、次の委託先にも 同様の要請を求める。要請の内容が当該部署に留まらない場合には、各社のガバナンス層 に報告され、合意がとれればそれを反映した方針の提示と、それに伴う対策の実施がなさ れる。 14 リーダー企業 ISG Communicate Assure Evaluate Direct Monitor サプライチェーン担当部署 (SCD) サプライチェーン各社 ISG ISG ISG ISG ISM ISM ISM ISM SCD SCD SCD SCD ISG: Information Security Governance ISM: Information Security Management SCD:サプライチェーンの担当部署 図 4-2 サプライチェーンにおける情報セキュリティガバナンスのモデル例 15 3.2.2. 企業コミュニティ (1) 対象 本節では、共通の資格やブランド等を軸に、企業コミュニティが形成されるケースを採 り上げる。たとえば、マーケットプレイスは、参加資格を満たした企業がアクセス権を得 て、売買情報を得たり入札に参加できるしくみであるが、このように参加資格を有する企 業群は共通のコミュニティのメンバーと見ることができる。また、ブランドの使用契約を 交わした企業各社は、同じブランドの下に属するコミュニティのメンバーといえる。 このようなコミュニティの拠り所は、共有する企業名・製品・サービス等のブランド価 値であり、それを守るため、コミュニティの参加企業は情報セキュリティに関する適切な 取組を求められる。 (2) 問題意識 共用するブランドの価値を守るためには、企業コミュニティにおける情報セキュリティ ガバナンスの確立が重要となるが、そのためには、次のような問題と対峙しなければなら ない。 ●コミュニティの魅力と参加に要する負担のバランス ・企業コミュニティの魅力はブランド力とビジネスメリットであり、それがコミュニテ ィ参加に要する負担に見合うものであれば、参加希望の企業が増える。しかし、情報 セキュリティ上の要求事項が強化され参加企業の負担が増大すると、参加企業が他の コミュニティに流れてしまう可能性がある。 ●参加企業間の関係が希薄 ・コミュニティによっては、参加企業間の交流が乏しく、共通意識の醸成が難しいケー スもある。そのため、個々の参加企業が共通のブランドの信用を支えていることを意 識する機会が少なく、情報セキュリティへの取組の動機が希薄になりがちである。 ●コミュニティからの要請への対応範囲 ・サプライチェーンと同様、コミュニティに参加する部署は当該企業の全体を代表する 立場ではないため、情報セキュリティ対策等の共通の約束事を企業全体の取組として 請け負う権限がない。多くの場合、統制の範囲は担当部署内で実施可能なレベルにと どまる。 (3) 経営陣・CISO が取り組むべき方向 ① マーケットプレイス マーケットプレイス等の緩やかな企業コミュニティについては、加入時の参加条件への 承諾が制約条件になる。したがって、既存のメンバーの合意を踏まえ、コミュニティ参加 の条件に「情報セキュリティに係る最低限の要求水準への対応」を追加することで、コミ ュニティ参加企業における情報セキュリティの統制を横断的に実施することができる。そ 16 のためには、まず、コミュニティの主催者が参加企業の合意を得ることが重要である。 ただし、参加企業への要求が厳し過ぎると、他のコミュニティに流れてしまうリスクも あるため、既存のメンバーとともに、妥当なバランスを常に模索することが望まれる。 ② 契約に基づくブランド共有 ブランドの使用契約を交わした企業群においては、契約に明示されたルールに適切に従 うことが要求される。これは、ブランドホルダにとって、(2)に示した問題意識を踏まえた 必要不可欠な措置と考えられる。 たとえば、ある監査法人の場合、国際的なブランドの使用やサービスの品質などについ て、権利と義務を厳格に定めたメンバーファームの契約を結んでいる。情報セキュリティ 管理についても、当該メンバーファームのルールとして「必須の事項」、「原則対応する事 項」、「対応が推奨される事項(対応は各自判断)」の 3 段階が設定されており、その対応 の遵守が義務付けられている。 上記を踏まえた、企業コミュニティにおける情報セキュリティガバナンスのモデル例を 図 4-2に示す。 (a)は、リーダー企業がコミュニティへの参加条件を設定し、各社への対応を要請するこ とで、グループ全体を統制するモデルである。責任分界点が明確で、既存の企業コミュニ ティにおいて導入しやすい構造と考えられる。 また、(b)は、グループ全体としての方針(参加条件、対応を要請する項目等)を、リー ダー企業を含むコミュニティの参加企業各社の代表が参加するグループ横断的な会議体に おいて合議の上決定するモデルである。責任の所在が曖昧になる欠点もあるが、各社の意 見は通りやすくなり、参加意識も高まると考えられる。 17 リーダー企業 ISG Communicate Assure Evaluate Direct Monitor コミュニティ担当部署 (CD) ISG ISG ISG ISG ISM ISM ISM ISM CD CD CD CD コミュニティ参加企業 ISG: Information Security Governance ISM: Information Security Management CD:コミュニティ担当部署 (a) リーダー企業が全体を牽引するモデル リーダー企業 ISG コミュニティ全体をガバナンスする組織(会議体) ISM Group-ISG CD ISG ISG ISG ISG ISM ISM ISM ISM CD CD CD CD コミュニティ参加企業 ISG: Information Security Governance ISM: Information Security Management CD:コミュニティ担当部署 (b) コミュニティのレベルを合議で決めるモデル 図 4-3 企業コミュニティにおける情報セキュリティガバナンスのモデル例 18 3.3. その他特殊なグループ (1) 対象 本節では、これまで示した対処方針(権限、契約、情報管理等)では解決が難しい、特 殊なグループを採り上げる。たとえば、歴史的経緯や縁故関係等によって結び付いている 企業グループ、JV、海外現地法人との合弁会社などのケースにおいて、実効的な統制が確 立できないという問題が指摘されている。 (2) 問題意識 これらの特殊なグループにおいて、情報セキュリティガバナンスの確立が難しい理由を 以下に示す。 ●歴史的経緯や縁故関係等に基づく企業グループに対する統制 ・財閥系のような緩やかな系列の場合、若干の資本関係はあるが、親子・関連会社ほど の影響力があるわけではなく、いわゆるリーダー企業が不在のケースも見られる。 ・ただし、資本関係が希薄であっても、大規模な個人情報漏えいなどの事故が発生すれ ば、ブランドが持つ信頼性は大きく失墜し、その影響はグループ全体に及びかねない。 ●JVに対する統制 ・建設・土木業界等におけるJVの場合、資金や人を供出するJV構成会社が同業であり、 情報の管理や共有が難しいケースがある。たとえば、JV職員はそれぞれ自社のネット ワークに接続できるが、他社のJV職員には接続できないようにしなければならない 12 。 また、期間限定のJVを解消する際の情報の廃棄や、ダム工事のような長期に渡るJV におけるITの変化への対応といった課題も懸念される。以下に、その他の課題を例示 する。 - スポンサー企業(JV におけるまとめ役企業)の情報管理責任と役割が不明確 - JV 解消時の情報の廃棄が適切になされていない可能性がある - 協力会社(連業者)と実質的支配関係が異なる - 協力会社(連業者)の作業員と雇用関係が異なる ●海外現地法人との合弁会社に対する統制 ・海外の現地等の企業との合弁会社の場合等には、次のような理由で国内と同水準のセ キュリティ環境を確保することは難しい。 - 合弁先企業の情報セキュリティ環境との違い - 合弁条件に起因する管理手続き等によるリスク - 現地法への整合 (3) 経営陣・CISO が取り組むべき方向 上記のいずれのケースでも、先に示した情報セキュリティガバナンスのモデルを単純に 12 社団法人日本土木工業協会・社団法人建築業協会「JV 現場ネットワークの構築と運用ガイドライン(第2版) 」 (2005/04/28), http://cals.dokokyo.com/sec_studywg/JVNW/ 19 踏襲することは効果的ではない。それぞれのケースに適した情報セキュリティガバナンス の仕組みも併せて実現することが望まれる。 ① 歴史的経緯や縁故関係等に基づく企業グループの場合 ・財閥系のような緩やかな系列の場合、一つのリーダー企業が全体を統括・牽引する中 央集権型ではなく、丁寧にコンセンサスを形成し調整を図る分権型の手法が適してい る。そこで、グループ各社の CISO もしくは情報セキュリティ担当によるグループ横 断の会議体を整え、合意形成の場を用意する。 ・場合によっては、教育機能、監査機能、CSIRT 機能などをグループで共有することに より、グループ企業間に情報共有の接点を用意し、相互連携の可能性を模索する。 ② JV の場合 ・JV構成会社各社に対し、「電子情報の取り扱い及びネットワークシステムに関する覚 書」 12 への合意をとりつける。 ・情報管理に係る最終的な責任が JV のスポンサー企業にあることを明確にした上で、 JV 解消時の情報の廃棄についても、適切に対処する。 ③ 海外現地法人との合弁会社の場合 ・現地の商慣習や文化の違いに十分に配慮しつつ、現地従業員向けの教育を強化し、人 の問題に伴うリスクをできる限り抑制する。 ・実務上は、何らかの原因で情報流出が起こるリスクを予め考慮した上で、それを許容 できる範囲の情報のみ共有する。たとえば、共有する情報のレベルや範囲を限定して、 万が一それが流出したとしても、その情報だけでは十分な意味をなさないような工夫 をする。 20 4. 企業グループによる外部サービスの活用 企業グループの IT 基盤を必要に応じて外部から調達することで、全体としてのコスト パフォーマンスの向上、運用の負荷の軽減、最新技術の活用といったメリットを得ること が可能である。本章では、企業グループの単位での利用について今後重要な判断を求めら れる可能性があるクラウドサービスとソーシャルメディアサービスを採り上げる。 4.1. クラウドサービス (1) 対象 ネットワーク経由でソフトウェアやサービスを提供するクラウドサービスの利用は、今 後数年のうちに企業において一般化することが予想されており、将来的に多くの企業グル ープを支える共通の情報基盤となることも考えられる。 企業グループによるクラウドサービスの利用は、グループ全体の情報基盤の運用管理を 委託できる点で、企業単位の利用より全体のコストメリットが大きいと考えられる。加え て、グループ企業間で情報を共有・活用することが多い場合には、そのための安全・高信 頼な ICT 環境を自ら構築・運用するよりはるかに容易かつ低コストに利用できる。 さらに、グループ全体の安全性確保のためにクラウドコンピューティングを導入するケ ースも見られる。特に、中小規模の子会社では、資源の制約もあって、親会社と同等のセ キュリティレベルを確保することが難しいが、信頼できるクラウドであれば、そのような 情報リスクを引き受け、一定のレベルを実現するのに有効と考えられる。 (2) 問題意識 クラウドサービスは、構築・運用・保守関連費用の抑制、事業継続性の向上、開発期間 の短縮といったメリットがある一方、自社の統制が利かない環境であるため、情報セキュ リティ管理に必要な情報が十分に入手できないという不安もある。また、経済産業省 「ク ラウドサービス利用のための情報セキュリティマネジメントガイドライン」では、以下の 指摘がなされている。 組織事業の基礎を成す情報及びその情報を取り扱うプロセス,システム並びにネットワ ークの多くを組織内に保持する場合,これらは経営陣によって管理できる。したがって, 経営陣は,組織の情報セキュリティについて方向づけ(Direct)を与え,コミットメントを 行い,PDCA の進捗・達成状況をモニタリング(Monitor)し,評価(Evaluate)し,利 害関係者に報告(Report)することを通じて,組織の実効ある情報セキュリティガバナン スを確立することができる。 一方,クラウドサービス利用では,入力,演算,保存,出力という一連の情報処理プロ セスのうち,主に入力と出力をクラウド利用者,演算と保存をクラウド事業者が分担する ものとすれば,情報セキュリティガバナンスの主体は,互いに独立したクラウド利用者と 21 クラウド事業者に分断される。 一般に,自組織の内部統制は,外部組織には及ばない。したがって,組織事業の基礎を 成す情報資産の多くを外部組織にゆだねるクラウド利用者の経営陣は,組織の情報セキュ リティにかかわる経営責任を全うすることができない。これを放置するならば,その組織 の経営陣はその経営責任を,監査役はその監督責任を問われかねないため,情報セキュリ ティガバナンスは,クラウドサービスを利用するにあたって検討しなければならない大き な課題の一つとなっている。 (出所:経済産業省 「クラウドサービス利用のための情報セキュリティマネジメントガイ ドライン」, 2011 年 4 月) 企業グループがクラウドサービスの利活用を前提とした情報セキュリティガバナンスの 確立を実現するためには、次の問題に対処しなければならない。 ●クラウドサービスと統制 ・クラウドサービス利用では、自組織のガバナンスの及ばないクラウド事業者にその多 くをゆだねることになり、その状況をモニタリングすることもできない。 ・自組織内の現場部門が管理部門の承諾を得ずにクラウドサービスを利用した場合、ト ラブルが発生しても管理部門では状況が把握できない。 ・クラウドサービスの利用者に対して、クラウド事業者のセキュリティ対策の情報が充 分に開示されていない。利用者のためのクラウド事業者に対する監査の仕組みが確立 していない。 ・複数のクラウド事業者を複雑に活用している場合、トラブル発生時の責任分界点が明 確でない。 ・海外子会社等が、本社とは異なるクラウドサービスを利用する場合に、情報トランス ファー等に関する情報セキュリティ、規制等について考慮する必要がある。 ●クラウドサービスとコンプライアンス ・情報の物理的な保存場所が特定困難なサービスの場合、個人情報保護法の要求を満た せない可能性がある。また、海外子会社との個人情報の移動においては、関連する規 制事項に適切に対応する必要がある。 ・海外のサーバが当該国の司法判断により押収されると、業務中断につながる可能性が ある。 ・委託先が海外企業の場合、契約をどこの法令に基づいて実施するかという問題がある。 (3) 経営陣・CISO が取り組むべき方向 経済産業省 「クラウドサービス利用のための情報セキュリティマネジメントガイドライ ン」では、クラウドサービス利用者の情報セキュリティガバナンスの確立のために、クラ ウド事業者の経営陣がクラウド利用者に対しクラウドサービスの提供に係る情報セキュリ ティのガバナンス及びマネジメントに関するコミットメント(契約行為を含む)を行い、 22 クラウドサービス利用者はクラウド事業者によるクラウドの活動状況報告を受けてマネジ メントやガバナンスの活動を展開することを提言している。 4.1.2 を踏まえると、クラウドサービス利用者(企業単体、企業グループのいずれの場合 も)は、預託する情報の取扱いに関する要求事項を明確にしてクラウド事業者に提示し、 それに応じたサービスを利用すべきである。その際、追加費用の妥当性については、他の 事業者と比較しつつ、利用者側が判断することになる。たとえば、以下の項目に関する要 求を提示することが想定される。 ・(預託情報が個人情報の場合)保管場所を国内のサーバ上に限定すること ・セキュリティ対策に関する情報の開示 (クラウド事業者に対する第三者の監査報告書の入手) ・クラウドサービスの契約先を国内窓口にすること、責任分界点の明確化 これらの項目は企業単位でクラウドサービスを利用する場合と同様であるが、対象とな る情報や目的、担当組織等が多様であるため、グループとしてとりまとめる際に十分留意 しなければならない。 また、企業グループとしてクラウドサービスを利用する場合、グループ各社の現場部門 が管理部門の承諾を得ずにクラウドサービスを利用することがないよう、各社内の申請手 続きを整備するとともに、そうした手続きが必要な理由について現場部門に十分に説明し 理解を得ることが望まれる。 さらに、クラウドサービス利用の安全性を高めるためには、複雑に変化するアイデンテ ィティ・アクセス管理をグループ全体として統合することが望まれる。そのためには、グ ループの全従業員(派遣を含む)を対象としたアクセス権の設定、グループ各社の人事異 動との的確な連動、委託先や取引先とのアドホックな情報共有が必要になるケースへの対 応、グループ各社のローカルルールの反映、複数のクラウド事業者を活用する場合のアイ デンティティの共用化(シングル・サイン・オン)など、その対応は容易ではないことも 理解しておく必要がある。 加えて、現場レベルのクラウド利用に要する申請手続が多段化することで、時間や手間 がかかり事業機会を逸することにならないよう、承認プロセスの簡素化にも十分配慮する ことが望ましい。 23 4.2. ソーシャルメディアサービス (1) 対象 ネットワーク経由で利用者のコメントや会話、関係等を可視化し、発信することができ るソーシャルメディアサービスは、消費者や関係者とのコミュニケーションツールとして、 またグループ内の情報共有ツールとして、近年徐々にビジネス利用が進みつつある。特に、 拠点が分散しているグローバルな企業グループや、縦割り構造でグループ内での情報共有 が少ない企業グループにおいては、人的資源を可視化し有効活用するソーシャルメディア サービスの活用は有効である。 (2) 問題意識 パブリックなソーシャルメディアサービスは、情報の流出と拡散をこれまで以上に容易 にする。その特性から、ソーシャルメディアサービスのビジネス活用を軸にした場合、情 報セキュリティガバナンスの確立を妨げる以下の問題が懸念される。 ●意図しない情報の流出・拡散 ・組織外秘の情報が、従業員の故意もしくは操作ミスで外部に流出してしまい、関係者 を混乱させたり、損害をもたらす可能性がある。 ・従業員のプライバシー情報が想定外の範囲で開示される可能性がある。 ●従業員の問題行動 ・ソーシャルメディア上で従業員が不適切な行動(人種や宗教等への差別的発言など) をとった場合、その結果、組織の評判にまで悪影響が及ぶ可能性がある。 ・従業員が勤務時間中にソーシャルメディア上で私的な活動を行う。 ●不正な攻撃等 ・ソーシャルメディア経由で、マルウェアが送り込まれる可能性がある。 ・ソーシャルメディア上で従業員になりすました人物が勝手な発言をする。 (3) 経営陣・CISO が取り組むべき方向 企業グループにおいてソーシャルメディアサービスをビジネスに活用する際には、企業 単体での導入と同様に、リスクを十分に理解した上で判断する必要がある。ただし、企業 グループの場合、企業単体に比べて適用範囲が広い分、より問題が発生する可能性が高ま る点に留意することが望まれる。 また、ソーシャルメディアサービスの場合、人に起因するリスクが多いことから、リス クの有効な軽減策は乏しく、地道な取組が不可欠となる。特に、従業員の誤操作が思わぬ トラブルを招く可能性があることから、サービスを導入する際には、操作環境にそうした ミスを回避するための工夫を組み込むことが望ましい。 また、従業員の無理解や組織に対する不満がこれまで以上に容易にトラブルに発展する ことから、従業員への教育とコミュニケーションをグループ横断的に強化することが必要 である。 24 5. まとめ 本書では、企業グループにおける情報セキュリティガバナンスのあり方についてとりま とめた。企業グループには様々な特徴・形態があり、そうした属性に応じて、適切な情報 セキュリティガバナンスのモデルを選択することが望まれる。 以下に企業グループにおいて情報セキュリティガバナンスを確立する際の留意点を示す。 (1) 資本関係に基づくグループ ・ 規模・業種・文化の多様性、海外子会社・関連会社の地域性の違いが実装の障壁とな る。そこで、グループにおける事業の国際性と事業テーマの共通性に基づき、自グル ープが情報セキュリティに関する権限の集中/分散の度合いを選択する。 ・ たとえば国内に集中し、事業テーマが共通しているグループの場合、共通の基準を設 定し、それを満たせない小規模のグループ企業のサポートを工夫すべきである。 ・ 国や事業テーマが多様化しているグループの場合、基本・原則部分は共通化しつつ、 実務上は各社の実態に即した基準を許容する必要がある。ただし、一つの監査チーム がすべてのグループ会社を評価するなどの取組を通じて、共通理解を促すことが重要 である。 (2) 契約関係に基づくグループ ・ サプライチェーンの場合、グループの成り立ちが一つ一つの契約に依存しているため、 強制力を伴う横断的・統一的な統制を実現することは難しい。そこで、たとえば、当 該チェーンのリーダー企業が主導する形で、受委託契約とは別に、情報セキュリティ の遵守事項を含むチェーン共通の合意形成を図る。そうした合意形成を促す方法とし て、共有する情報を制限することが考えられる。 ・ マーケットプレイス等の緩やかな企業コミュニティでは、参加の条件に「情報セキュ リティに係る最低限の要求水準への対応」を追加することで、参加企業における情報 セキュリティの統制を横断的に実施できる。ただし、要求が厳し過ぎると、他のコミ ュニティに流れてしまうため、妥当なバランスを模索する必要がある。 ・ 共有するブランドの価値を守るため、ブランドの使用契約に情報セキュリティ管理を 明示することで、契約する企業各社に遵守を求めることができる。 ・ いずれの場合も、統制の範囲は参加企業の担当部署内に留まる点に留意すべきである。 (3) その他特殊なグループ ・ 歴史的経緯や縁故関係等によって結び付いている企業グループの場合、資本関係に基 づくグループほどの統制力はないことから、一つのリーダー企業が全体を統括・牽引 する中央集権型ではなく、丁寧にコンセンサスを形成し調整を図る分権型の手法が適 している。 ・ 建設・土木業界等における JV は、資金や人を供出する JV 構成会社が同業社であり、 情報の管理や共有が難しいケースがある。JV 構成会社各社に対し合意をとりつけるこ と、情報管理に係る最終的な責任が JV のスポンサー企業にあることを明確にするこ 25 とが必要である。 ・ 海外現地法人との合弁会社の場合、現地の商慣習や文化の違いに十分に配慮しつつ、 現地従業員向けの教育を強化し、人の問題に伴うリスクをできる限り抑制する。実務 上は、何らかの原因で情報流出が起こるリスクを予め考慮した上で、それを許容でき る範囲の情報のみ共有する。 (4) 外部サービスの利用 ・ 企業グループによるクラウドサービスの利用は、構築・運用・保守関連費用の抑制、 事業継続性の向上、開発期間の短縮といったメリットがある一方、自社の統制が利か ない環境であるため、情報セキュリティ管理に必要な情報が入手できない不安もある。 ・ クラウドサービスについては、グループ各社の現場部門が管理部門の承諾を得ずに利 用することがないよう、各社内の申請手続きを整備するとともに、申請手続が複雑化 することで事業機会を逸することにならないよう、承認プロセスの簡素化にも十分配 慮することが望まれる。 ・ 企業グループにおいてソーシャルメディアサービスをビジネスに活用する際には、人 に起因するリスクが多いことから、リスクの有効な軽減策は乏しく、地道な取組が不 可欠となる。特に、従業員の誤操作が思わぬトラブルを招く可能性があることから、 サービスを導入する際には、操作環境にそうしたミスを回避するための工夫を組み込 むことが望ましい。 これらの検討成果を踏まえ、企業グループが適切な情報セキュリティガバナンスを確立 することを期待する。 26 情報セキュリティガバナンス研究会 企業グループにおける情報セキュリティガバナンスモデル作成 WG メンバー 【主査】 大木 栄二郎 工学院大学 情報学部 教授 【委員】 加賀谷 哲之 一橋大学大学院 商学研究科 准教授 梶本 政利 ITGI Japan 事務局長 塩崎 哲夫 富士通株式会社 クラウドセキュリティ事業部 事業部長 原田 要之助 情報セキュリティ大学院大学 教授 藤本 正代 富士ゼロックス株式会社 パートナー 丸山 満彦 デロイトトーマツリスクサービス株式会社 パートナー 公認会計士 山崎 哲 工学院大学 エクステンションセンター 客員教授 (以上、敬称略・順不同) 【オブザーバ】 経済産業省 【事務局】 株式会社三菱総合研究所 情報セキュリティガバナンス研究会 企業グループにおける情報セキュリティガバナンスモデル作成 WG 会議日程 2010 年 12 月 15 日 第一回 WG WG の目的、論点について 2011 年 01 月 12 日 第二回 WG 想定される課題と対応について 2011 年 02 月 02 日 第三回 WG 報告書骨子案について 2011 年 02 月 17 日 第四回 WG 報告書案について 2011 年 03 月 03 日 第五回 WG 報告書最終案について 27