本文へスキップ

企業・組織の経営倫理を推進する人材を育成・支援するNPO法人

トップページ > 経営倫理士とは > 経営倫理士講座アーカイブ > 22期:2018年7月4日実施講義

<第5回講義:「企業のリスクと情報セキュリティ」(杉野 隆 講師)>
 “旬”の話題に情報満載

杉野隆氏は、情報セキュリティ大学院大学主催日本経済新聞協力の本年度第14回「情報セキュリティ文化賞」を、2月に受賞している。まさに今日問題視されている情報のセキュリティ問題について、これ以上の講師はいないのではないかといえる。
 いま旬の話題「企業リスクと情報セキュリティ」ということもあり、途中15分の休憩をはさんだ2時間半の講義に、受講生のメモを取る目も真剣みを帯びていた。

増え続ける情報のリスク管理で内容濃い講義の杉野隆講師

講義内容は、@企業経営とリスク管理 Aリスク管理体制の実現に向けて B情報セキュリティ管理 C内部統制と情報セキュリティ―で、現実に起こっている企業経営と情報、セキュリティとリスクについて、いかにしたら情報リスクをコントロールできるかということについて講義は進んだ。


1)「企業経営とリスク管理」
 米国における1億4300万人の個人情報流出事件、個人や組織における情報セキュリティの10大脅威、増え続けるサイバー攻撃、情報漏えい事故対応にかかる費用などについての解説が行われた。消費者向けECサイトを運営している上場企業が、顧客情報1万人分の口座情報を含む個人情報を漏えいした事件では漏えい単価3万円と仮定し、これだけで3億円、さらにはブランド失墜、顧客離れなど損害は計り知れない、と具体的な説明もなされた。


2)「リスク管理体制の実現に向けて」
 社会生活、自然界、経済界、産業界などのリスクをあぶり出し、リスクの分析から評価までをきちっと行い、リスク値を算出してリスクの回避、リスク対応の最適化(SG域)、リスクの移転について説明。またリスクの感知能力、危険予知能力の必要性についても言及した。他社の事例などを活用し、自社に当てはめてみるということも必要だ、と解説してくれた。


3)「情報セキュリティ管理」
 情報セキュリティの概念から情報管理の目的、管理するヒトの特性、不正行為が行われる“不正のトライアングル”、『入り鉄砲に出女』を例え話にしながらの情報セキュリティの考え方を説明。情報資産セキュリティに対する内在的、外在的要因としての脅威ともろさについてや情報資産の持つ脅威と脆弱(ぜいじゃく)性の関係について詳細な説明が行われた。ISMS(Information Security Management System)、PDCAサイクル(Plan→Do→Check→Act)の必要性についても触れられた。
 さらには情報セキュリティへの対策、報告書の構成、ISMS適合性評価制度、サイバーセキュリティ経営ガイドライン、リスクの分析と評価、脅威と脆弱性の評価基準、管理体制、CISO(Chief Information Security Officer)の任命、人材、内部不正、CSIRT(Computer Security Incident Response Team)の組織化などについても細かい説明がなされた。


4)「内部統制と情報セキュリティ」
 内部統制の4つの目的、6つの基本的要素が示され,特に情報セキュリティの観点からは、“リスクの評価と対応”、“ITへの対応”がポイントとなる。会社法が求める内部統制では、業務の適正を確保するために必要な会社法施行規則があり、経営全般に内部統制の構築は求められているが、具体的な方法については言及せず、それぞれの企業の判断に任せられている、とした。
 情報セキュリティ監査については、監査の視点、監査方式、監査の対象、監査/管理基準などが細かに説明され、最後に「情報セキュリティ監査報告書」のひな型には、助言型と保証型の2種類があるということが説明された。


まとめとして以下の3点が説明された。
1.企業経営は常にリスクマネジメントを行っている。
2.企業の重要資産である情報の安全性という観点からリスクをマネジメントすることを考える。
3.ICTは企業にとって増大しつつある大きなリスクである。
4.企業は情報セキュリティのリスクマネジメントが正しく実施されていることを確実にするために、@情報セキュリティ・マネジメントシステムを確立する A情報セキュリティ監査を適切に実施する。

講義終了後の質疑応答にも熱が入り、許された30分もあっという間に使われ、短く感じた2時間30分だった。

【講義リポート = 後藤 忠良(総合企画委員)】


2018年7月23日配信

前の記事へ 講座アーカイブへ戻る 次の記事へ