新たなリスク管理の展開（5）〜内部統制、ISMS，BCM で求められるリスク管理

これまでのコラムで挙げた米国企業の動きをみるまでもなく、日本においても「情報セキュリティ管理（ISMS）」「個人情報保護法」「日本版SOX法」「新会社法」「事業継続管理（BCM）」等々、あらゆる場面においてリスク管理と一体となった内部統制が求められています。

特集特集

2007年10月30日（火） 17時10分

これまでのコラムで挙げた米国企業の動きをみるまでもなく、日本においても「情報セキュリティ管理（ISMS）」「個人情報保護法」「日本版SOX法」「新会社法」「事業継続管理（BCM）」等々、あらゆる場面においてリスク管理と一体となった内部統制が求められています。

●2．あらゆる側面で求められるリスク管理

（2）新会社法
会社法では、上場企業を含む大会社に対して内部統制を求めています。内部統制の目的は、SOX法が求める「財務報告の信頼性」だけではなく、「業務の実効性と効率性」および「適用される法令への遵守性」等広く企業の業務全体に渡っており、同時に「損失の危険の管理」として、企業全体を対象としたリスクマネジメントを実施することを求めています。

（3）情報セキュリティマネジメントシステム（ISMS：）
ISMSは、国際標準規格ISO　27001が2006年に定められており、事業所が継続的に情報セキュリティを改善できる能力があるか否かを審査する第三者認証制度も整備されています。このISMSは、情報および情報システムのセキュリティに焦点を当てた経営管理システムのしくみで、情報の完全性、可用性、機密性の3つの観点で適切な対応を求めるものです。対象とする情報についてデータフローや業務プロセスに関してリスクを分析していくことになります。

一般にISMSの構築では、[1]セキュリティポリシーの決定、[2]ISMSの適用範囲の決定、[3]リスクの評価（情報資産抽出と脅威，脆弱性評価）、[4]管理対象リスクの決定、[5]実施目標と管理策の選択等によりISMSのフレームワークを構築していきます。

（4）個人情報保護法
個人情報の入手、利用、破棄などに係わる業務プロセスにおいて、個人情報漏洩のリスクへの対応が必須になってきています。個人情報保護法が2005年に施行されてから3年目年に入った今日、情報漏洩の発生による社会的ペナルティが大きいこともあり、企業では、情報漏洩防止システムの導入や管理の強化を進めているところです。

しかしながら未だに企業・組織による情報漏洩が止まらないのが現状です。こうした情報漏洩をはじめとした情報セキュリティへの対応については、企業内の部分的、応急的処置では限界があり内部統制に基づく、全社的・継続的なリスク管理が益々要求されているところです。

個人情報の管理に関わるリスクについては、ISMSでもほとんどがカバーされます。時には、日本版SOX法における業務プロセスフローの中で、個人情報の取り扱いフローも併せてリスク分析を進められることもあるでしょう。

（5）事業継続管理（BCM）
2002年に英国規格協会（BSI：British Standards Institution）がBCPの一般仕様として「PAS56」を策定しました。米国でも2004年にNFPA（National Fire Protection Association）が「NFPA1600」を発行し，BCMの導入を推進しています。日本においても情報セキュリティ分野を中心とした事業継続ガイドライン（2005年内閣府防災担当）や事業継続策定ガイドライン（経済産業省）が公表されているところです。

先に説明しましたISMSの中には事業継続性も定められていますが、この場合には不正アクセスやウイルス等の情報セキュリティに関わる事業継続に限定されています。

BCMで最初に行うことは、自社の現行業務を理解し、最優先すべき事業の要件を定義することです。その後、現行業務プロセス、フローを把握しながら、想定されるリスクならびに被害を検討します。さらに、この検討結果を元に、ビジネス影響度分析（BIA : Business Impact Analysis）を導き出し、目標復旧時間（RTO : Recovery Target Objective）を決定していきます。

●3．オーバオールなリスク管理に向けて
従来から多様なリスクに対して目的に応じ個々のアプローチで対応されてきました。今まで説明してきましたように、今後は、全社的に統合的にリスク管理に取り組むことが求められており、そのために如何に効率的・合理的にリスクを管理していくかが大きな課題になってきています。

（1）SOX法対応で注目されるリスク管理
SOX法対応でも指摘されていますように業務プロセスの標準化・共通化により扱うリスクの限定化、単純化、共通化などをすることも有効でしょう。また、日本版SOX法の実施基準にも示されているように、重要で影響の大きなリスクを上位概念からアプローチするトップダウン方式を採ることも有効でしょう。

（2）リスクトレラントシステム
トップダウン方式とも関係しますが、全てのリスクを細かく特定して対応することは効率的ではありません。例え当該リスクが発生したとしても関連する、あるいは包括されるリスクへの対応（コントロール）によって、包括的・柔軟にリスクに対応して行こうとする新しい概念ですが、別の機会に紹介したいと思います。

（3）ソーシャルガバナンスとリスク
コーポレートガバナンス、内部統制、ITガバナンス、セキュリティガバナンスは、いずれも単独企業や関連企業グループ内に閉じて求められるガバナンスです。ソーシャルガバナンスは、社会的基盤となっているサービスについて、その社会的責任を果たすために、関連する企業群、行政等全ての関連事業体に統括的に求められるガバナンスとして筆者が新たに呼んだものです。もちろんサービスは、複数の関連企業によって提供されますので、各企業においては個々のガバナンスが構築され有効に運用されていることが、ソーシャルガバナンス確立の前提となります。

先の中越沖地震では、自動車部品の製造工場が損傷を受け、各自動車メーカでは部品の入手ができず操業が中止されたそうです。業界として、サプライチェーンに影響を与えるリスクに対応できるようにしておくことは、ソーシャルガバナンス確立の一手段となるものです。

【執筆：東京大学　情報セキュリティコミュニティ　副代表　林誠一郎】

【参考文献】
「企業リスクとIT統制」（2007年アスキー刊）

【関連URL】
NTTデータ・セキュリティセキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/
新たなリスク管理の展開（1)
https://www.netsecurity.ne.jp/7_9737.html
新たなリスク管理の展開（2）
https://www.netsecurity.ne.jp/7_10044.html
新たなリスク管理の展開（3）
https://www.netsecurity.ne.jp/7_10089.html
新たなリスク管理の展開（4）
https://www.netsecurity.ne.jp/7_10279.html

《ScanNetSecurity》