情報セキュリティ

情報セキュリティとは、企業が取り扱う情報の安全性を確保することです。情報を有効活用するには、この安全性に対して利便性とのバランスをとることがとても重要です。企業活動においては、情報を制することにより企業の戦略遂行や競合先との優位性を確立して行くことが大原則であり、情報を制することはこの安全性と利便性のバランスを適切にコントロールすることに他なりません。情報セキュリティの３要素C.I.A.（機密性：Confidentiality、完全性：Integrity、可用性：Availability）を適切にコントロールし企業の情報を最大限に活用し業績に貢献することは、今やIT部門の個別の問題ではなく企業の経営課題の一つと捉え企業全体の取り組みとすることが重要です。

情報セキュリティを確保しなければ、企業や行政の活動、個人生活などを円滑に進めることができません。しかし情報セキュリティを誤って狭い意味でとらえている人も少なくありません。また、情報セキュリティの確保は「IT部門に任せておけばよい」というように誤解している人もいます。
情報セキュリティについては、企業などの組織体の役員や従業員、さらに外部委託先を含めすべての関係者が自分の役割や責任を認識して、適切に対処していく必要があります。
参考文献：「この一冊ですべてわかる情報セキュリティの基本」

情報セキュリティの検討は、社内で共通認識としたリスク認識のもとに、保護すべき情報資産と保護環境を構築し、モニタリングする流れで検討します。
セキュリティソリューションに飛びついてしまう前に、何がリスクかを検討しましょう。次に情報セキュリティの整備の進め方について確認します。

情報セキュリティを推進するためには、①情報を特定し機密レベルを定義することから始まります。例えば、外部に公開する情報、外部に開示してはならない情報、特定関係者に限り参照・アクセス可能な情報、そしてごく少数の関係者限定且つ特別レベルの重要情報、というように機密レベルを決定し、管理します。次に②情報セキュリティのポリシーを策定します。ポリシーでは情報セキュリティの目的、セキュリティの範囲、推進体制、規定・マニュアルなどの体系、情報資産、リスク評価、セキュリティ対策の整備・運用、経営者による監視、監査など情報セキュリティに関する基本的事項を定めます。
次に③周知・教育を実施します。情報セキュリティのポリシーを策定しても、それが情報を取り扱う現場で守られていなければ絵に描いた餅にしかならず、重大事故が発生するリスクを抑止できません。次に、現場での情報の取扱いがポリシーに従い適切に扱われているかを④監視・監査します。周知・教育、監視・監査は一時的な対応では情報セキュリティが維持できないとして、定期的かつ継続的に実施することでその効果を維持、向上させることが非常に重要とされます。
そして、情報セキュリティを支える⑤システム基盤を構築、運用することは、IT部門の重要な役割です。ここは専門性の高い領域になりますので、IT部門やITベンダにしっかり対応してもらうことになります。

個人情報保護法に話題が少しそれますが、「個人情報保護法のガイドライン（通則編）安全管理措置に関する基本的な取り組み事項（https://www.ppc.go.jp/personalinfo/legal/2009_guidelines_tsusoku/#a8）」が総務省の個人情報保護委員会から公開されています。前述の①で述べた情報の機密レベル（開示の範囲）が「特定関係者に限り参照・アクセス可能な情報」に個人情報が位置付けられます。個人情報も情報セキュリティの一環として保護されるべき情報ですので、企業での情報セキュリティと個人情報保護の関係を明確にしておく必要があります。ガイドラインが示す安全管理措置では、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の４つの体系から成り、それぞれ取り組むべき事項が示されていますので、特に組織的安全管理措置と技術的安全管理措置については参考になるのではないかと思います。

情報セキュリティの検討は、社内で共通認識としたリスク認識のもとに、保護すべき情報資産と保護環境を構築し、モニタリングする流れで検討します。
セキュリティソリューションに飛びついてしまう前に、何がリスクかを検討しましょう。