セキュリティ対策の遵守

　「内部統制評価基準 勝ち抜く会社の800のポイント」は特に「業務の有効性と効率性」を基軸にした「内部統制」の有効性を診断する評価基準です。この評価基準を活用した内部統制の仕組みづくりでは、内部統制に関わる組織経営のプロセスを８つの側面（カテゴリ）に分けて、具体的に仕組みに落とし込んでいく方法をとっています。

　内部統制評価基準の８つのカテゴリーの5つ目は
５．知の経営の実現
です。

　データ・情報・知およびITシステムを守るための情報セキュリティ対策について確認します。

５．（１０）セキュリティ対策の遵守
　ITデータの流失と悪用に関するセキュリティ対策がルール化され、厳格に守られていますか。

　顧客データや技術情報、組織企業が持つ個人情報などの流出や盗難など、情報セキュリティに関する事故が起きた場合、社会的な指弾を受ける可能性が高いこと、また場合によっては経営に重大な影響を及ぼすことは、十分に理解されていると思います。
　個人情報については、個人情報保護法によってそれを保護する義務があります。

　経営者は、こうした社会の要請を理解し受け止め、情報セキュリティの方針・ルールを明確にし、情報セキュリティ対策の仕組みを作り、周知・徹底します。

　具体的には
・情報セキュリティの管理対象となる情報やデータ
・情報セキュリティを主管する社内組織（担当者）
・情報セキュリティに関する事故が起きた場合の手続き
などを明確にします。

　ITシステムとしての対策としては
・ITデータへのアクセス制限（サーバールームへの入室制限、アクセス権限の定め、パスワード管理、履歴管理等）
・不正ソフトウェア対策（許可されていないソフトウェアのインストールの禁止、ウイルス対策、セキュリティパッチの適用等）
などがあります。

　こうした手順やルールは、教育・研修を行って、徹底します。

　ICTやインターネットの進歩に伴い、情報セキュリティにかんする新たな脅威も次々に出現しており、情報セキュリティの方針・ルールについては定期的に見直しを行い、必要に応じて改善していくことが求められています。

　情報セキュリティについては、次のカテゴリー６．情報セキュリティでさらに深掘りいたします。

★★

　内部統制評価基準改訂版「内部統制評価基準 勝ち抜く会社の800のポイント」については、NPO法人内部統制評価機構のウェブサイトをご覧ください。

　ボルドリッジ（ボルドリッジ・エクセレンス・フレームワーク）は、米国発の「証明された」経営フレームワークです。
　筆者らが翻訳した、ボルドリッジ・エクセレンス・フレームワークの要約版、「ボルドリッジ・エクセレンス・ビルダー【日本語版】」は、米国NISTのウェブサイトからダウンロードできます。ページ下方の Non-English Versions / Japanese を参照ください。

Baldrige Excellence Builder