日本版SOX法・徹底解析

企業での情報漏えい事件が絶えない昨今、機密データをいかにして守るかが重要なテーマとなっている。今回は、企業を取り巻く法令やさまざまな基準からデータ保護への取り組みを再確認していこう。

[北原真之（日本PGP），ITmedia]2009年07月15日 07時15分 更新

http://www.itmedia.co.jp/enterprise/articles/0907/15/news010.html

拡大する情報漏えいの脅威

　情報漏えい事件が相変わらず頻繁に発生し、その多さには驚くばかりです。「自分たちだけは大丈夫」という楽観主義は、もはや通用しないでしょう。システムがネットワークにつながり、PCがモバイルとなって利便性が高まれば高まるほど、情報漏えいの潜在的リスクが拡大します。特に2009年は、医療や公共機関においてPCやUSBメモリなどの盗難・紛失が原因となる事件が相次ぎました。

　日本ネットワークセキュリティ協会（JNSA）の「2008年 情報セキュリティインシデントに関する調査報告書」によると、2008年度の総漏えい人数は、723万人を超えました。100万人超の大規模な漏えい事件の減少により、2007年からは改善したとはいえ、依然大きな数字であることには間違いありません。

　このような事件の原因として、紛失、管理ミス、誤操作などの人為的ミスに加え、盗難や意図的な流出などの悪意によるものも相当な割合を占めます。改めて情報管理意識の低さが浮き彫りとなりました。

　情報漏えい事件は、相当な金銭的な賠償を伴う場合があります。JNSAが独自の計算方法で集計した2008年度の想定被害額は2360億円を超え、一件当たりの被害額も1億8000万円強となり、経営の根幹を揺るがす問題になりかねません。

　ご存知の読者も多いと思いますが、米国のカード決済代行会社であるTJXの事件では、カード会員データと個人情報が漏えいし、その影響は9400万人に及ぶとされました。VISAに対して、4100万ドル（約40億円相当）近い罰金を支払ったといわれています。

　情報漏えいは、このように金銭的な損害だけではなく、事件や事故を起こした企業に対するレピュテーション（社会的評価）を著しく損ねることになります。報道への対応、訴訟対策、再発防止への取り組みなど、その対応への手間に加え、社会的な信用の低下による株価の下落や取引の停止、顧客の不買などの被害も甚大なものとなることを覚悟しなければなりません。

　情報漏えいに対して、社会の意識はますます厳しい目を向け始めています。事件や事故が起きて、謝れば済むものではありません。むしろ、どれだけの対策をしていたかが、その後の企業活動に大きく影響します。もし適切な対策をしていなかったことが公にでもなれば、ネット中に批判が駆けめぐり、風評被害を爆発的に増幅させるでしょう。

情報漏えい対策に関係する法律や基準とは？

　このような事態を踏まえ、消費者の保護と情報セキュリティに対する意識を高め、その対策を促すために、法令や公的なガイドライン、認証基準が整備されつつあります。

　情報漏えいに関連するものだけで、新会社法や金融商品取引法（日本版SOX法）による内部統制とIT統制、個人情報保護法、これらの法律に関する経済産業省や厚生労働省のガイドライン、公認会計士協会による電子データの漏えいを防ぐセキュリティ指針、ほかにも不正アクセス禁止法や電子契約法など、多くの法令やガイドラインが対策を求めています。

　当然、法律への対応が不十分となれば、法律違反を問われることになるだけでなく、風評被害の拡大に拍車をかけることになり、企業経営上のリスクを背負うことを覚悟しなければなりません。

　法律の要請に応える形で、業界としての自主規制や公的な認証制度も普及し始めています。代表的なものとしては、「情報セキュリティマネジメントシステム」（ISMS）、「プライバシーマーク」（Pマーク）、「Payment Card Industry Data Security Standard」（PCI DSS）などがあります。（図1参照）

図1：情報セキュリィティに関する法律や基準

　特にPCI DSSは、クレジットカード業界およびクレジットカードで取引に関わる加盟店やECサイトに適用される基準として作られたものですが、極めて具体的な対策にまで踏み込んで規定しており、ISMSやPマーク以上に「どこまでやればいいのか」を明確に示している点で、これらを補完するものとして国内でも普及が始まっています。

　新会社法や日本版SOX法は、内部統制の運用を経営者の義務として明記しています。IT統制も内部統制の重要なコンポーネントとして定義されており、その対策を避けることはできないでしょう。

IT統制とIT資産

　読者にはおなじみかもしれませんが、内部統制におけるIT統制は、「COSO」（米国トレッドウェイ委員会組織委員会）のフレームワークによると、以下の3つの階層に分けられます。（図2参照）

　その基底をなす「IT全社的統制」は、全社的なIT統制を実施・維持させるための取り組みを求めています。中間層に位置する「IT全般統制」は、ITを利用した業務処理を有効に機能させる取り組みです。最上位の「IT業務処理統制」は、取引や業務に関わる記録やデータの完全性や信頼性を確保することを求めています。

図2：IT統制とIT資産の関係

COSO（the Committee of Sponsoring Organization of the Treadway Commission）＝米国トレッドウェイ委員会組織委員会が公表した内部統制のフレームワーク

COBIT（Control Objectives for Information and related Technology）＝企業・自治体といった組織のITガバナンスの指針として、米国の情報システムコントロール協会（ISACA）などが提唱するITガバナンスの実践規範

　ここで示したIT統制は、COBITに規定されているIT資産に対して適用されます。

　最外周である「人」は、IT資産を運営する社員の意識やスキル、業務規定などが対象となります。「設備」は、情報システムを収容する設備やそれについての管理、運営方法です。「テクノロジー」は、ハードウェア、オペレーションシステム、ネットワークなどの物理的資源を意味し、「アプリケーション」は、業務処理に関わる人と業務処理プログラムを対象とします。そして、これらすべてのIT資源の根幹を構成しているのが「データ」です。（図3参照）

図3：法律や基準を順守するための根幹

　「データ」は、「人」「設備」「テクノロジー」「アプリケーション」を駆使して行われる企業活動の根幹となる資産です。個人情報や経営情報、生産管理に関わる購買や工程に関わる情報、財務や経理に関する情報、新製品に関わる設計情報や研究情報などであり、このデータを上位のIT資産が利用することで、企業活動を機能させることになります。

　先に示した法律やガイドライン、認証基準は、このIT資産全般について適用されるものです。当然、これらすべてに対して適切な対策を施さなくてはならなりませんが、現実には100％完全なセキュリティ対策というものは存在しません。またいくら管理を徹底しても人的ミスを避けることは困難ですし、悪意の第三者による意図的な流出は日々進化する技術を悪用して、ますます巧妙なものとなっています。万が一の事件や事故を完全に避けることは、現実的には不可能なのです。

　そこでIT資産の根幹であるデータ保護を優先させることが、IT統制のための現実的な解決策となるのではないでしょうか。もちろん、ほかの階層についての対策をおろそかにしてデータを保護するだけで済まされるものではありません。

　ただし、人間や業務プロセスに関わる対策は複雑であり、徹底するにも時間やコストが掛かります。だからこそ、まず根幹を優先して対策し、周辺対策を現実に即して充実していけば、万が一の事態に対しても、最悪の事態を回避できるでしょう。根幹対策が徹底されればデータの流用が困難となり、悪意ある行為をけん制するという効果も期待されます。