« フラット化、ウェブ化、株主資本主義 | トップページ | うつな人ほど強くなれる »

2006年8月19日 (土)

最新情報漏洩防止マニュアル -SOX法-

「最新情報漏洩防止マニュアル」 酒巻 久 & キヤノン電子情報セキュリティ
研究所

2002年に米国で誕生した企業改革法(SOX法)の日本版が2008年3月決算から施行される見通しだ。
日本版SOX法では、ITは「内部統制の目的を達成するために不可欠な要素」であり、「内部統制の有効性に係わる判断基準」として明確に位置づけられている。
SOX法は、情報システムや経営者だけの問題ではなく会社にいる全員が何らかの形で関わってくりため、社内向けの研修や教育に力を入れるべきである。まさか、紙切れ1枚(電子メール1本)で新しいシステムになりましたではすまないだろう。
いかに内部統制の手続きを作り、システムチェックをかけても、それを運用する社員のモラルが低くては話にならない。
そこでSOX法だけではなく、個人情報保護法やe文書法で求められるコンプライアンスを守る知恵が書かれたのが本書である。
2006年の初めに出版されたときも、話題になりよく売れた本だ。
改めて読んでみると、なるほどと思わせることが多い。中身を紹介していくことにしよう。

会社がいかにセキュリティポリシーを持とうが、プライバシーマークを取ろうが、セキュリティ規定を設けようが、現場で情報を取り扱う社員がルール違反をすれば何の意味もない。
もしルール違反があるのなら、それを許す土壌が会社にあるのだろう。
今、社会の流れとしてもモラルを徹底することが難しい時代になってきた。企業社会にあってもお金万能主義が幅を利かせ、お金になれば重要機密でも売ってしまう人間が多くなっている。情報技術の発展ばかりでなく、人の心持の面でも情報セキュリティが守りにくくなっているのではないだろうか。
キヤノン電子情報セキュリティの独自調査からは、情報漏えいと社員の生産性は同じ根っこを持っているそうだ。PCの使用ルールを徹底すれば情報セキュリティに強く、しかも社員の生産性が上がって儲かるとのこと。
また、数百社の調査から、どの会社にも2割の問題児と8割のまじめな社員がいる。2割の問題児が勤務中にアダルトサイトやゲームサイトなどを見て遊んでいると、その分をまじめな社員が残業をしてこなしているかも知れず、まじめな社員の健康を損ねたり、会社にとって残業代が多額なロスになるはずである。
しかし、2割の問題児のために、情報利用を制限しようとする会社もあるが、それによってせっかくの情報投資をつぶし、まじめな社員が割りを食うことになる。
かといって、このまま問題児を許すことにしてしまえば、組織のモラルや士気を低下させてしまう。

それではどうするのか。

不正が生じないような監査体制を厳しくするなど内部統制の充実が求められSOX法が法制化される。また、e文書法の施行によって文書の電子化は業務の効率化・コスト削減など多くのメリットがある反面、これまで以上に漏洩や改ざんのリスクを回避するための対策が必要になってくる。
これらの動きに対応するため、業務プロセスの正しさを示す「証拠」や誰がいつ何をしたかの「記録」「履歴」を残すことが重要になってくる。
SOX法では「ITの対応」が明記されており、ITの重要性が増している。
各業務が公正で明解な手続きによって遂行されていることを証明するには、システムにアクセスするルールや権限の徹底をはじめ、開発、保守、運用までの業務プロセスが正しい手順で動いているかを示すログが重要になってくる。
つまり企業の内部統制は、ツールを部分的に導入すれば解決するものではなく、ログの管理方法など、情報システムに関わるすべての業務の見直しが迫られている。
ログを不正監視として使うだけでは、十台のPCを一人が監視するくらいが精一杯でコストもかかり対応が追いつかない。このためには、情報の重要度から監視頻度、保存期間、分析目的を決めることだ。

ログ監視機能などは大切だが、いかなるセキュリティ対策も社員に自覚がなければ無意味である。正しいPCの使用方法を認識させ、そもそも会社は仕事をする場所であり、PCは会社の資産であることを明確にすること。熱心なあまり家庭でも仕事をするためにデータを持ち帰ったりすることを許すと悪意がなくても結果として顧客に迷惑をかけたりする。ルールが企業を守るのである。大問題に発展させないためには、ルールを守るように教育を実施していくのである。
ハードやソフトでの対応である程度ルール違反の数を減らすことは減らすことはできても完全はない。もっとも効果の高い方法は問題を起こさない社員を育てることである。それと仕事現場では管理者がいかに仕事を割り振っているかも問題となる。業務時間に与えられている仕事の質・量とも勤務時間にしては少なすぎることも原因になる。人間は過小評価されるとヤル気を失うものである。会社内で仕事の能力を落とすケースとしては圧倒的に多いパターンがそれだ。過小評価による損失を出さないためには、管理・監督者が社員の仕事内容を正確に把握し、実績をきちんと評価することだ。
突き詰めて考えると、すべては管理者の能力にかかっている。部下は優秀であるほど、時間を持て余し、PCで遊んでしまうと心得なければならない。

また、職場のコミュニケーションの改善は情報セキュリティの自覚を促す最大のツールである。これは、社員だけではない。正社員と派遣社員のコミュニケーションの欠如は大問題である。そんな関係を改善する一歩が朝の挨拶運動である。あいさつから仲間意識が生まれるのだ。
そして正社員、派遣社員、パートを平等に扱うことが大切である。ボーナスにしても派遣だからいらないと考えるのは間違いだ。ボーナス支給日に、派遣会社にお金を渡しておいて、同じ日に少しでもいいから渡してあげるようにする。たとえ小額でもうれしいものだ。また懇親会にも誘い職場の和を保つことを心がけるべきだ。

情報セキュリティはともすると、それを破ろうとする者をどう防ぐかに気持ちが行過ぎることが多い。しかし、まじめに働く社員が損をしないことが情報セキュリティを考える上で重要であり、まじめに働く社員が得をする仕組みを組織の中に埋め込むことが、マネジメントが最終的に目指すところである。

最新 情報漏洩防止マニュアル―日本版SOX法、個人情報保護法、e‐文書法施行で求められるコンプライアンス Book 最新 情報漏洩防止マニュアル―日本版SOX法、個人情報保護法、e‐文書法施行で求められるコンプライアンス

著者:酒巻 久,キヤノン電子情報セキュリティ研究所
販売元:アスキー
Amazon.co.jpで詳細を確認する

|

« フラット化、ウェブ化、株主資本主義 | トップページ | うつな人ほど強くなれる »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/110149/3119571

この記事へのトラックバック一覧です: 最新情報漏洩防止マニュアル -SOX法-:

» 派遣のお仕事| 派遣のお仕事情報館 [派遣のお仕事| 派遣のお仕事情報館]
小さな子供がいるから…。 小さな子供がいるから…。働きたいけど、家のことが大変で…. [続きを読む]

受信: 2006年8月20日 (日) 00時13分

» フレッシュミーティングについて [フレッシュミーティング]
最近よく耳にするフレッシュミーティングって何?フレッシュミーティングの解説です。 [続きを読む]

受信: 2006年12月19日 (火) 00時46分

» e-文書法の入門解説 [e-文書法の入門解説]
「e-文書法」が成立しペーパーレス時代に突入しました。平成17年4月に試行された「e-文書法」をe文書情報管理士が分かりやすく解説します。 [続きを読む]

受信: 2007年1月23日 (火) 20時31分

« フラット化、ウェブ化、株主資本主義 | トップページ | うつな人ほど強くなれる »