2005年3月11日 (社)日本経済団体連合会 情報通信委員会 情報化部会 |
電子商取引が年々普及の度合いを増し、電子政府、通信のIP化、情報家電のネットワーク化等が進展するなど、ITの経済・社会インフラ化が進む中、社会全体として、情報セキュリティの確保が喫緊の課題になっている。また、個人情報保護法全面施行を控え、情報セキュリティは任意努力の対象から、コンプライアンスへと変化しつつあり、企業の情報セキュリティ確保もますます重要になっている。
このような中、政府の各部局において情報セキュリティに関する検討が進められているが、わが国の情報セキュリティ水準の向上のためには政府、企業、個人の役割を明確にしたうえで、適切な情報セキュリティ対策を講じる必要がある。
政府においては、省庁横断的な一律の水準の情報セキュリティ対策の実装が必要であるが、企業の情報セキュリティ対策は業種・業態に応じて異なるものであり、政府による一律の規制は有効な方策とは言えない。経済界としては、情報セキュリティの確保をコーポレート・ガバナンスや企業の社会的責任の一環と捉え、各企業の自主的取組みによって情報セキュリティを確保することが原則であると考えている。
企業の情報セキュリティ確保に関する政府の役割は、自らの情報セキュリティ確保の取組みを通じて企業等に範を示すことや、広報、啓蒙活動を通じたセキュリティ文化の醸成、税制的優遇措置の付与など、各企業の自主的取組みを促すための環境整備であることを銘記すべきである。
以上のような考えを基本とし、報告書案について下記のとおり意見を述べる。
経済産業省パブリックコメント
http://www.meti.go.jp/feedback/data/i50228aj.html
今回の報告書案で提示されている(1)情報セキュリティ対策ベンチマーク、(2)情報セキュリティ報告書モデル、(3)事業継続計画策定ガイドライン、はいずれも企業が情報セキュリティ対策を実施する際に参考となるものであり、経済界としても評価したい。ただし、これらのツールを社会に普及させる際には、規制等の強制的な手法によるのではなく、広報活動を充実させる等、企業への周知徹底を図るような手法を検討すべきである。
企業の「望まれる水準」として「各層の上位1/3における平均値を目標としつつ、各層における全体平均値に達していない企業については、各層における全体平均値を、早期に達成すべき暫定的目標として設定する」とされているが、情報セキュリティ対策は企業が自己責任において取り組むべきものであり、また、報告書案にも書かれているように、「『望まれる水準』は、企業の業務内容・IT依存度といった内的要因だけでなく、社会全体のネットワーク化の更なる進展といった外的要因によっても変動していくもの」である。したがって、「望ましい水準」を層別に決めるのは適当でなく、企業自らが設定することとすべきである。
従業員にとっての効果として情報セキュリティ担当者の業績アピールが挙げられているが、情報セキュリティ報告書の公表は全従業員にメリットがある旨を強調する方が適当である。
情報セキュリティ対策ベンチマークに盛り込まれたような予防措置を講じても、情報セキュリティ対策としては万全でなく、企業の情報セキュリティ対策を進めるうえで、「あるリスクに対してはこのレベルの対策が必要」という合理的なセキュリティ水準の目安について、何らかの具体的な指標を共有できるようにする必要がある。そこで、情報セキュリティ事故がもたらす影響と事前に実施すべき対策を分かりやすい尺度で示すため、情報セキュリティ・リスクに関する定量的な指標を官民が連携して作り、企業がリスクに応じた合理的な対策を実施できるようにすべきである。
情報セキュリティは性質上、実施している対策等を公表することが困難である場合が多く、情報セキュリティ報告書による格付けを実施しても、企業の情報セキュリティ対策を正確に評価することは困難であることに留意すべきである。