IT化とともに増える情報漏えい事故
あらゆるビジネスのIT化が進展し、膨大なデジタル情報が企業内はもちろん、ネットワークを通じて企業と企業、企業と個人の間でもひんぱんにやり取りされています。グローバル経営が進み、それらの情報は国境を越えて飛び交っています。その中には技術情報などの多くの知的財産や、営業機密、個人情報などが含まれています。ところが、機密情報が意図しない形で外部に漏れる、いわゆる情報漏えい事故も増加の一途をたどっています。一度事故が起きると、顧客や取引先に迷惑をかけるのはもちろん、事故を起こした企業は信頼を失い、時には企業の存続にかかわる事態に陥ることさえあります。
情報セキュリティ強化は時代の要請
情報セキュリティの強化は、21世紀になって本格的に登場したテーマです。安心・安全を求める社会の要請、高度化する攻撃や内部犯行を防止する技術的要請、事業上の機密を守ろうとする企業の要請、企業に説明責任を求める市場の要請、そして情報セキュリテガバナンスの確立を求める政府の要請、これらをひっくるめて、まさに時代の要請といえます。
重要な経営課題
企業にとって保有する膨大な情報を適切に管理できるか否かは、極めて重要な経営課題であり、多くの企業が情報セキュリティに対する取り組みを強化し始めました。ところが、さまざまな対策をとっても、顧客や取引先にはなかなか理解されないという悩みがあります。情報セキュリティがしっかりしているかどうかは、眼に見えないうえ、分かりやすい評価のモノサシがないのが実情だからです。
環境より見えにくい
CSR(企業の社会的責任)の観点から、「環境」と並んで「情報セキュリティ」に取り組む企業も増えています。どちらにも、国際標準化機構(ISO)による認証制度があり、それを取得した企業はそれを公表し、PRしています。同時に環境の場合には、「製品のリサイクルを呼びかける」「リサイクル素材を使用する」「社員の手で植林活動に協力する」など目に見える活動をすることで、「環境にやさしい企業」のイメージが形成されていきます。しかし情報セキュリティの場合は、対外活動を通じてアピールできるようなアイデアはほとんどありません。
新たな第三者評価への期待
情報セキュリティの場合は結局、「第三者機関による公平な評価」に頼らざるをえません。ますます高度化する外部からの脅威や、内部からの情報漏えいを確実に防止するには、マネジメントレベルを評価する従来からの認証制度(ISO27001)に加えて、組織等の情報セキュリティレベルを公平に、しかも細かくランク付けする新たな第三者評価の仕組みが求められています。こうした期待にこたえるべく、考え出されたのが「情報セキュリティ格付」の制度です。
高度に進化した評価方法
情報セキュリティについては、ホームページの改ざん、ハード・ソフトのトラブルから、情報漏えいまで様々な問題があります。これらに個別の技術対策をとるだけでなく、組織マネジメントとして取り組もうというのがISMS(情報セキュリティ・マネジメント・システム)の考え方です。ISO27001の認証では、Plan(具体的計画・目標の策定)、Do(対策の導入・運用)、Check (実施結果の監視・見直し)、Act(改善・処置)――のPDCAサイクルが継続的に回っているかを評価します。
これに対して「情報セキュリティ格付」は、そのセキュリティ水準をランク付けします。具体的にはマネジメントの成熟度、脅威に対する対策の強度、コンプライアンスへの取り組みといった視点から総合的に評価し、AAAを最高とする17段階の符号で表します。
評価基準(クライテリア)の策定に当たっては、有力企業数社における情報セキュリティ対策の評価基準や、債券等の信用格付など他の市場での格付の経験を踏まえており、実情に即したかなり高度な評価方法となっています。