見出し画像

6.情報セキュリティ

旅の人

 「内部統制評価基準 勝ち抜く会社の800のポイント」は特に「業務の有効性と効率性」を基軸にした「内部統制」の有効性を診断する評価基準です。この評価基準を活用した内部統制の仕組みづくりでは、内部統制に関わる組織経営のプロセスを8つの側面(カテゴリ)に分けて、具体的に仕組みに落とし込んでいく方法をとっています。

 内部統制評価基準の8つのカテゴリーの6つ目は
6.情報セキュリティ
です。

 あらゆる種類の企業や組織にとって、データ、情報、運用システムやその他のシステムに対するサイバーリスクを管理し低減を図ることが必須となっています。「業務の有効性と効率性」の確保という内部統制の目的からすれば、そのリスクを回避することは重要な取り組みとなります。
 ここでは情報セキュリティに、関連する個人情報保護も加えて、仕組みの構築を支援します。

 カテゴリー6.情報セキュリティは、次の10個の項目で構成されています。

6.(1)情報セキュリティの経営方針としての周知
6.(2)情報セキュリティに関するマネジメントシステムの確立
6.(3)情報セキュリティに関するマネジメントシステムの実行
6.(4)物理的セキュリティ(安全管理)
6.(5)人的セキュリティ(安全管理)
6.(6)マイナンバー法と個人情報保護法への対応
6.(7)情報セキュリティ教育
6.(8)情報セキュリティと内部不正
6.(9)情報セキュリティに関する事故対応
6.(10)IoT時代の情報セキュリティの理解
(「内部統制評価基準 勝ち抜く会社の800のポイント」より引用。)

 これらの項目はそれぞれに質問があります。その質問が、内部統制の要求事項になります。

 「内部統制評価基準 勝ち抜く会社の800のポイント」では別々のページに離れて記載されている項目およびその質問を一覧してみます。

           6.情報セキュリティ
6.(1)情報セキュリティの経営方針としての周知
情報セキュリティを経営方針のひとつとして社内外に周知し、経営者から職員に至るまで十分に浸透していますか。
6.(2)情報セキュリティに関するマネジメントシステムの確立
情報セキュリティは、規程類(マネジメントシステム文書)を整備し、手順を明確にし、運用し、見直しをするマネジメントシステムとして確立していますか。
6.(3)情報セキュリティに関するマネジメントシステムの実行
情報セキュリティについて、責任者を明確にし、対象情報の特定、各情報のリスクを把握・共有するようなマネジメントシステムを実行していますか。
6.(4)物理的セキュリティ(安全管理)
重要情報の保管、入退室管理等情報の物理的なセキュリティの仕組みは構築・運用されていますか。
6.(5)人的セキュリティ(安全管理)
機密情報の取り扱い、ICT機器の使用などに関して、職員が注意・遵守すべきルールは明確に定められ、徹底されていますか。
6.(6)マイナンバー法と個人情報保護法への対応
マイナンバーの取扱と個人情報・プライバシーへの配慮がより重要となって来ていることを理解していますか。
6.(7)情報セキュリティ教育
全職員への定期的教育と、新規採用者への適時教育は適切に行われていますか。
6.(8)情報セキュリティと内部不正
内部不正により情報セキュリティが守られなくなる可能性に十分留意していますか。
6.(9)情報セキュリティに関する事故対応
情報漏えい事故等の情報セキュリティに関する事故が発生した場合の対応方法は定められていますか。
6.(10)IoT時代の情報セキュリティの理解
IoT時代の進展による情報セキュリティの多様化を理解し適切な対応をしていますか。 
(「内部統制評価基準 勝ち抜く会社の800のポイント」より引用。)

 「内部統制評価基準 勝ち抜く会社の800のポイント」では、それぞれの質問(要求事項)に、10のポイントが示されており、それをチェックする仕組みです。

 10のポイントは、「内部統制評価基準 勝ち抜く会社の800のポイント」を見ていただくとして、このノートでは、それぞれの質問の意味するところ(要求事項)を、ボルドリッジの視点から確認していきます。

 ボルドリッジには、重要なインフラストラクチャのサイバーセキュリティを改善するための米国国立標準技術研究所(NIST)のフレームワークの原則が組み込まれています。このフレームワークは、"Cybersecurity Framework Version 1.1"としてNISTでとりまとめられ、日本語を含む各国語版で刊行されています。

★★

 内部統制評価基準改訂版「内部統制評価基準 勝ち抜く会社の800のポイント」については、NPO法人内部統制評価機構のウェブサイトをご覧ください。

★★

 ボルドリッジ(ボルドリッジ・エクセレンス・フレームワーク)は、米国発の経営フレームワークです。
筆者らが翻訳した、ボルドリッジ・エクセレンス・フレームワークの要約版、「ボルドリッジ・エクセレンス・ビルダー【日本語版】」は、米国NISTのウェブサイトからダウンロードできます。ページ下方の Non-English Versions / Japanese を参照ください。

★★

 改訂で新たに加わった部分(6、7、8)の深掘りが必要になったので、このnoteでもこれらを先に進めることにします。

この記事が気に入ったらサポートをしてみませんか?