NTTコミュニケーションズ株式会社
松下電器産業株式会社
富士ゼロックス株式会社
【趣旨】
格付投資情報センター、NTTコミュニケーションズ、松下電器産業および富士ゼロックスは、わが国の情報セキュリティ・ガバナンス向上を目指し、情報セキュリティ格付けの共同事業化に向けて、07年7月にビジネス・モデルなどの事業内容を検討するための情報セキュリティ格付け制度研究会(以下、「制度研究会」)を設置する。制度研究会では具体的な情報セキュリティ格付けへのニーズを調査検討のうえ、日本企業の事業特性(業界、規模、取引形態など)に適した評価手法(格付け基準)の確立など事業化に向けた準備を行う。準備作業が順調に進めば、制度研究会に参画を表明した各社の機関決定を経て、今冬にも新組織を設立し、財やサービスなどの商取引指標としての新たな格付け事業を開始する。事業を開始したのち、格付け事業への参画募集を順次行う見通し。
なお、情報セキュリティ格付けは、政府「産業構造審議会情報セキュリティ基本問題委員会報告書」にて、企業が取り組むべき優先的・重点的課題に盛り込まれた。制度研究会設立は政府および産業界における必要性の高まりを受けた取り組み。
(背景)
わが国は戦後、経済を中心として目覚しく発展、世界経済をリードする存在となった。90年代に入り、ITなどの科学技術の高度化や世界的な分業体制の進展を背景に、情報システムは経済活動のライフラインと言われるまでに成長した。しかし社会のIT化などが進む中で、情報漏えいやシステムダウンが頻発するようになり、情報セキュリティが新たに深刻な社会・経営問題になりつつある。政府・民間を問わずリスクが様々な形で顕在化しており、政府、企業、個人のあらゆる分野において、既存の社会システムをセキュリティの視点で見直す必要がある。
情報セキュリティに関わるリスクは新たな脅威である。この脅威は、産業界に致命的なダメージを与えるばかりか、国家の存立を危うくする惧れもある。この共通認識に立脚し、多くの企業が協力して新たな脅威に立ち向かうことが急務となっている。
(対処すべき課題)
社会が変化して、自社・取引先間で業務システムを相互接続することが一般的になり、さらに業務自体をアウトソーシングしてシステムを共同利用する形態も増加の一途を辿っている。また、グローバルな分業体制が進展した結果、国内外の企業への委託業務が増え、ガバナンスの対象範囲が大きく拡大している。
情報管理強化の一環として、多くの企業が業務委託先の管理を充実するなか、委託会社・受託会社におけるセキュリティ水準の相互確認作業は膨大なものとなっている。セキュリティ品質の向上は、1つの企業や団体などの閉じた環境の中で完結するものではない。業務の効率化と有効性を確保するには、多くの企業が客観的な評価指標を共同利用するなど、社会全体のコストを低減する方策が求められている。この問題に対処するために新たな仕組みを構築し、財やサービスに付随する技術情報や営業機密などの情報管理を徹底することが課題となっている。
また一方、情報セキュリティに対する投資を自社の製品やサービスの競争力強化に結びつけ、企業価値を向上させること、格付けを用いた市場メカニズムの創設によるガバナンスの確立も課題となっている。
さらに、金融商品取引法(通称「日本版SOX法」)には、内部統制の一つとして情報セキュリティに関する対策も要件となっているが、企業の現場では、情報セキュリティの具体的な対応基準をより一層明確にしていくことも課題である。
(基本方針)
社会や企業の情報セキュリティ・ガバナンスについて、政府は今年5月「産業構造審議会情報セキュリティ基本問題委員会報告書」の中で、格付けなど市場メカニズムを通じた機能向上に期待を表明した。こうした中、制度研究会では社会的インフラとして3年以内に「情報セキュリティ格付け」制度の確立を目指すとともに、「独立性・中立性・専門性」を確保できる事業形態で新たな格付け機関設立を念頭に、事業化の準備作業を推進する。情報セキュリティに対する産業界の関心の高まりを受け、多くの企業や団体が会員として参画できる仕組みを準備し、業種・業態の枠組みを超えた活動として、政府の情報セキュリティ政策「セキュア・ジャパン2007」の実現に積極的に関与・協力していく。
業界横断的な情報セキュリティ格付けの取り組みにより、高度なセキュリティレベルを実現した組織が、市場において高い評価を獲得し、企業価値の向上を実現していくことを目指す。これにより世界経済システムのなかでも信頼されるわが国の経済基盤の確立に貢献していく。
(具体的な取り組み)
制度研究会では、検討テーマ毎に参画各社の専門家を集め、半年程度の時間を掛けて集中討議して、事業計画を練り上げていく。事業化では、各社の特徴を生かしながら格付けによる情報セキュリティ評価事業、付随する教育・研修事業や格付け資格認定制度について、ビジネス・ニーズの確認作業を進める。
格付け事業では、格付け結果を会員間で共同利用し、取引の上でセキュリティレベルの評価に関する総コストを抑える仕組みなども検討する。さらに、日本版SOX法のセキュリティ要件への対応状況を客観的に確認できる評価基準についても検討をすすめる。また、格付け事業との関わりにおいて、政府が推進する「情報セキュリティ対策実施状況確認のための標準フォーマット策定」を踏まえ、関係諸団体と調整したうえで、社会的な基盤の構築を目指し関与・協力していく。
教育・研修事業では、社会全体としての情報セキュリティ管理業務の高度化を促す仕組みについて掘り下げた検討を行う。
格付け対象企業における社員などのスキル向上を目的とした教育制度の創設や、格付けを実施する上での評価者を育成し、資格認定を行なう研修システムや制度を検討する。資格認定制度については、格付け事業の普及促進を企図し、個人が格付けを実施する資格制度を新設。ビジネス展開時には個人が属する組織を認定登録するなどの仕組みを検討する。
また、新たな格付け機関として「独立性・中立性・専門性」を維持した行動規範を整えていく。
【発起会社】
株式会社格付投資情報センター
NTTコミュニケーションズ株式会社
松下電器産業株式会社
富士ゼロックス株式会社
【制度研究会参画会社】
東京海上日動火災保険株式会社
東京海上日動リスクコンサルティング株式会社
凸版印刷株式会社
富士通株式会社
株式会社野村総合研究所
NRIセキュアテクノロジーズ株式会社
株式会社三菱総合研究所
株式会社みずほフィナンシャルグループ
三井物産株式会社
(注)本共同事業化検討に参画を表明した会社
【オブザーバー】
経済産業省
総務省
関連省庁(調整中)
独立行政法人情報処理推進機構(IPA)
(注)情報セキュリティ・ガバナンス向上を推進している経済産業省をはじめ、重要インフラを所管する省庁などで構成
以上