会社情報

パブリシティ

リスクマネジメントABC 情報セキュリティー 外部の視点うまく活用 日刊工業新聞 2006年(平成18年)11月2日掲載

リスク管理
前週木曜日の本稿に引続き、情報セキュリティーへの組織の取り組みの第三の勘所である「マネジメントシステムの構築」について述べたい。

組織が「情報を扱うことにより発生するリスク」、すなわち情報リスクは常に変化しており、またその大きさも変わってきている。企業が保有する個人情報の漏えい事故がもたらす影響もその一例として理解いただけるであろう。また、対応が迫られる日本版SOX法など新たな法規制やステークホルダーとの適切な関係の構築の必要性など、企業に対する社会要請も年々変化している。

こうした環境の中で、リスクを極小化することは無論のこと、社会要請に対して説明責任を果たすためにも、情報セキュリティーへの継続的見直しが求められる。そのために必要な仕組みがマネジメントシステムである。対策実施状況や効果の点検・課題の整理・是正対策の実施などを、スパイラルに行う仕組みである。

ITリスクマネジメントの費用(次年度予想)表からも読み取れる通り、ITリスクへの取り組みに投資する費用は増加傾向にあることは間違いない。しかし、本当にこの効果を十分に説明できる組織の割合は果たしていかほどに上るだろうか。情報セキュリティー対策それ自体が目的化し、真のマネジメント効果の享受に至っていないことはないだろうか。

これを解決する手段の一つとして、「可視化」が挙げられる。自社が抱えるリスクがどのレベルにあり、そのリスクに対する自社の対策がどの程度の効果があるのか、これを発生確率や影響を用いてマッピングなどしていく、いわゆる「リスクマップ」をダイナミックに活用していく手法であるが、これは情報セキュリティー対策においても当然有効である。

リスクを定量化し、対策の効果をモニタリングすることで、本来の目的への達成度や投資の効果がより明らかになる。この手法は広義のリスクマネジメントや品質管理でも今まで取り組まれてきた方策である。情報の保護・管理というITリスクのマネジメントにこそ、こうした「ITによる可視化」が親和することは言うまでもない。

この可視化のための評価軸策定で意識する必要があるのが、「外部の視点」である。自社の取り組みを採点する尺度・評価軸を自組織の内部で定めていてはいわゆる「お手盛り」の自己満足になりかねない。これを回避するには「外部の視点」による客観的な尺度に基づく評価が必要になる。

第三者認証の取得や、経済産業省などによる情報セキュリティー関連のガイドライン、そしてステークホルダーからの評価などをこれに用いることができる。こうした社会的な認知のある基準を通じ、自組織の実施状況を継続的かつ視覚的にモニタリングすることで、実効的な対策と説明責任が同時に果たされる情報を作り出せる。

外部の視点をうまく活用することが、自組織の情報セキュリティーマネジメントレベルの向上にも大きな役割を果たす。(日本総研ソリューションズ)

執筆 技術本部:石川 晃

※日刊工業新聞 2006年11月02日 掲載記事より転載

PDF版はこちらから(299KB)PDF

ページトップへ戻る

JSOLへのお問い合わせ

特集

特集SAP

SAP ERPの豊富な導入実績があり、企業の業務改革を総合的にご支援します。

特集Biz∫

人とシステムの融合による業務効率化を目指し、あらゆる企業の変革を迅速かつ確実に実現します。

特集オムニチャネル

コンサルティングからソリューションまでオムニチャネル化に向けた最適なご支援を提供します。

特集JSOLアグリ

農業生産に係る数理計画を中核に、農業生産者の経営指標の見える化と収益拡大を実現します。