経営課題と解決へのヒント

1.基本の情報セキュリティ

情報を正しく扱い、不適切な人の手に渡らぬよう対策を取るなど情報資産の機密性を守ることは「情報セキュリティ」の基本要素です。
情報漏洩の原因は、不正アクセスやコンピュータウイルスといった外部からの脅威と、うっかりミスや不正持ち出しなど内部からの流失に分かれます。したがって、暗号化や不正アクセス防止策に代表されるシステム面、社内ルールの明確化や従業員の意識向上など人の面の双方から対策を進めていきます。これらを体系的に文書化したものが「セキュリティポリシー」ですが、ここで注意が必要です。
というのも、管理者側は万一への不安から厳密なルールを作りがち。せっかくのポリシーも形骸化し機能を果たせない恐れがあります。情報セキュリティは従業員が情報漏洩の当事者になることを防ぐ＝従業員を守る約束事でもありますから、確実に遵守できる内容にします。ポリシーに合わせ社内手続きを見直すこともお勧めします。

もう1つは単発のITに頼りすぎないこと。例えば、情報の暗号化は社外に情報を送るときには有効ですが、暗号化されていない社内では管理が甘ければ簡単にプリントアウトして持ち出しが可能です。そのため、社内ルールや他のITとの組み合せで考える必要があります。

情報セキュリティのツボ

1.何を守るか

• 情報（秘密情報、個人情報　等）
• コンピュータ
• 外部デバイス
• 書類

2.何から守るのか

• 外部からの不正アクセス
• 従業員のミス
• 従業員の不正持ち出し
• コンピュータウイルス感染

上記による情報の漏洩 等

3.どうやって守るか（主な対策例）

2. 非常時の事業継続

パンデミックや大地震のような自然災害、果てはテロ事件など大きな危機が会社を襲った際に、（1）重要な業務をできるだけ中断させず、（2）中断があっても早急に復旧させる、つまり事業の可用性を高めることが事業継続（Business Continuity）です。さらに、事業継続を実現するための計画（Plan）をBCPと呼んでいます。
事業継続は従来の防災対策を基盤にし、経営の視点を入れて重要業務の洗い出しや復旧までの時間、復旧レベルの設定を行います。仮に事業を再開できても、取引先が求める許容時間より遅ければ仕事は他社に回り、事業撤退の事態になりかねません。復旧までのスピードは会社の存続に関わる重要事項なのです。
事業継続にはBCPの策定と訓練など、人や組織で行うべき取り組みと、システムを止めない・早期に復旧する仕組みが必要になります。サーバ停止は自社業務のみならずサプライチェーン内の取引先にも大きな影響を与えます。重要情報を守る各種IT対策や堅牢なデータセンターの活用などの対策も欠かせません。

また、パンデミック対策では6割未満の人員で数週間以上事業を継続することが前提とされ、在宅勤務を実現するテレビ会議システムやセキュアな通信インフラなど、システムによる災害対応力の向上に注目が集まっています。

事業継続のツボ

1.何を守るか

• 情報（基幹業務　等）
• 業務で使用するコンピュータ
• 設備
• 従業員

2.何から守るのか

• 災害（地震、火災、風水害　等）
• テロ
• ITの障害、設備の故障
• 事故
• サイバーアタック
• 感染症（パンデミック）

上記による業務の中断 等

3.どうやって守るか（主な対策例）

3.継続運用できる内部統制

内部統制は情報の「完全性」を保つための社内体制づくりを意味します。整備が不完全で、虚偽、遅延、改ざん等が発生すれば、情報の完全性を失います。情報の完全性とは、「情報が組織の意思・意図に沿って承認され、過不足なく正確に記録・処理されること」を表します。過去に、上場企業で有価証券報告書の虚偽記載が発覚し上場廃止になった事件は、社会に衝撃を与えました。
情報の多くはITを使って管理されていますので、まずはITを管理するプロセスにおいて誤りが発生するリスクを低減させ、情報の正しさを保ちます（IT全般の統制）。アクセス制限による改ざん防止やアクセスログ監視などは実施しておきたい対策です。
さらに、人的ミスの発生率を抑えるべく、ワークフローによる確実で効率的な承認体制の構築などシステムで自動化できる部分は置き換えます。

内部統制のツボ

1.何を守るか

• 情報（財務情報、基幹業務　等）
• コンピュータ
• 外部デバイス
• 書類

2.何から守るのか

• 従業員のミス（誤入力、紛失　等）
• 従業員の不正
• コンピュータウイルス感染
• 外部からの不正アクセス

上記による情報の改ざん、消失等

3.どうやって守るか（主な対策例）