杉本 龍彦
情報セキュリティ報告書とは?作成する場合に注目する観点は?
企業が独自に開示している情報セキュリティ報告書というものがあります。これは、各企業のセキュリティへの取組状況を開示する仕組みですが、今回は「自社独自の情報セキュリティ報告書を作るとしたら?」という考えのもと、経済産業省が示す情報セキュリティ報告書モデルと、各社の情報セキュリティ報告書を読み解き、どのようなポイントで書けば良いかをまとめてみます。
出典:経済産業省 情報セキュリティ報告書モデルhttps://www.meti.go.jp/policy/netsecurity/docs/secgov/2007_JohoSecurityReportModelRevised.pdf
情報セキュリティ報告書とは?
企業の情報セキュリティに関する取り組みの中で、社会的に関心の高い(と考えられる)ものを情報開示した文章です。これらの取り組みが顧客や投資家などのステークホルダーから適正に評価されることを目指すものであり、基本構成として以下の7項目(目次)があります。
| ① 基礎情報 | 報告書の発行目的、利用上の注意、対象期間、責任部署等 |
| ② 経営者の情報セキュリティに関する考え方 | 情報セキュリティに関する取組方針、対象範囲、報告書におけるステークホルダーの位置付け、ステークホルダーに対するメッセージ等 |
| ③ 情報セキュリティガバナンス | 情報セキュリティマネジメント体制(責任の所在、組織体制、コンプライアンス等)、情報セキュリティに関わるリスク、情報セキュリティ戦略等 |
| ④ 情報セキュリティ対策の計画、目標 | アクションプラン、数値目標等 |
| ⑤ 情報セキュリティ対策の実績、評価 | 実績、評価、情報セキュリティの品質改善活動、海外拠点の統制、外部委託、情報セキュリティに関する社会貢献活動、事故報告等 |
| ⑥ 情報セキュリティに係る主要注力テーマ | 内部統制や個人情報保護、事業継続計画など特に強調したい取組、テーマの紹介、工夫した点等 |
| ⑦ 第三者評価・認証等 | ISMS適合性評価制度、情報セキュリティ監査、プライバシーマーク制度、情報セキュリティ関連資格者数、格付け/ランキング等 |
情報セキュリティ報告書を発行することによるメリット
企業がこの報告書を発行することで、以下のような効果があります。
● 説明責任の遂行
事業のIT依存度が高まっている中で、この報告書を通じてIT事故に関するリスクへの取り組みについてステークホルダーに説明できる。また、この報告書の準備過程において、経営者自身が情報資産とビジネスプロセスの関係性を把握し、情報セキュリティの取り組みに対する説明責任を果たすことができる。
● 新たな事業価値の創出
自社のセキュリティ向上の取り組みを対外的に公表することで、顧客からの支持を得て、企業価値の向上や競争優位の確保を狙うことができる。
● ステークホルダーに対する効果
取引先に対しては、調達等で相手企業の安定的な事業継続を求めるうえで、取引先から第三者認証の取得を求められるケースがあり、それに応えることができる。また、従業員に対しては、自社の情報セキュリティに対する意識・理解を高める効果を期待できる。さらに、顧客や消費者に対しては、個人情報を保護する企業であることをアピールできる。
公表されている情報セキュリティ報告書
代表的な企業のリンクを以下にまとめました。(順不同)
● ソフトバンクグループ
● キヤノンマーケティングジャパングループ
● 富士フイルムグループ
● リコーグループ
● 三菱電機グループ
● NECグループ
各社の内容を経済産業省提示の基本構成に当てはめると、以下のようになっています。(目次で記載しています)
| ソフトバンクグループ | キヤノンMJグループ | 富士フイルムグループ | リコーグループ | 三菱電機グループ | NECグループ | |
| ①基礎情報 ②経営者の情報セキュリティに関する考え方 |
情報セキュリティ対策方針 | トップメッセージ | はじめに | 情報セキュリティの基本的な考え方 | 情報セキュリティ推進フレームワーク | |
| ③情報セキュリティガバナンス | 情報セキュリティ 推進体制 リスクマネジメント 情報セキュリティ対策 |
情報セキュリティガバナンスとマネジメント 情報セキュリティ人材の育成 情報セキュリティ対策の実装 |
情報セキュリティ体制 社内の情報セキュリティ |
リコーの情報 セキュリティの取り組み プロダクトセキュリティ コーポレートセキュリティ |
情報セキュリティの基本的な考え方 情報セキュリティマネジメント 情報セキュリティに対する取り組み |
情報セキュリティガバナンス 情報セキュリティマネジメント 情報セキュリティ基盤 情報セキュリティ人材 サイバー攻撃対策 NECのサイバーセキュリティ戦略 |
| ④情報セキュリティ対策の計画、目標 | 今後の取組み | Action2020 | 今後の計画について | |||
| ⑥情報セキュリティに係る主要注力テーマ | 積極的な情報開示と社会への貢献 お客さまへの価値提供プロセスにおける情報セキュリティ品質の向上 お客さまの情報セキュリティ課題解決への貢献 |
製品・サービスの情報セキュリティ お客様への安全のご提案 |
データプライバシー | 製品・サービスのセキュリティ品質に対する取り組み 工場(OTセキュリティ)に対する取り組み 情報セキュリティソリューションの提供 セキュリティ関連研究開発 |
お取引先と連携した情報セキュリティ セキュアな製品・システム・サービスの提供 DXによる新たなセキュリティリスクへの対応 最前線でのサイバーセキュリティ技術の研究開発・事例 |
|
| ⑦第三者評価・認証等 | NIST CSF準と外部機関評価 | 第三者認証の効果的な活用 | 第三者評価・認証 | コーポレートセキュリティ | 第三者認証 | 第三者評価・認証 |
情報セキュリティ報告書を作成する場合のポイント
各社のものを読み解き、情報セキュリティ報告書を作成するうえで、基本構成の7項目に対して、どのような内容が望ましいかを考えてみます。(モデル別で記載します)
| ① 基礎情報
② 経営者の情報セキュリティに関する考え方 |
はじめに世の中の情勢(例えば、デジタル化の流れやそれに伴うセキュリティリスクの他、経済安保などを絡めた世の中の情勢)を述べる。それを踏まえて、会社としてどのようなセキュリティ対策を進めているかといった読者へのメッセージを記載する。また、セキュリティに対する取り組みの基本方針を示す。 |
| ③ 情報セキュリティガバナンス | 情報セキュリティ体制が整っていれば、それを図解しつつ詳細を説明する。情報セキュリティの対策として、基本となる組織的対策、物理的対策、技術的対策、人的対策を示す会社も多い。 さらに、サイバーセキュリティや人材育成など力を入れている取り組みがあれば示す。 |
| ⑥ 情報セキュリティに係る主要注力テーマ | ③で示したこと以外に提供したい内容があれば示す。 プロダクトを持っている企業は、そのプロダクトでの取り組みを示したり、情報セキュリティに関連する製品であれば、その活用をすることでどのような効果が得られるかを示す。 開発や保守を請け負っている場合、その開発や保守請負のプロセスなどを示す。 |
| ⑦ 第三者評価・認証等 | 第三者評価として、プライバシーマークやISOなどを取得していれば示す。その他個別製品やサービスで、コモンクライテリアやその他認証を取得していれば示す。 |
| ④ 情報セキュリティ対策の計画、目標 ⑤ 情報セキュリティ対策の実績、評価 |
会社の体制、取り組んでいることを前段の章で具体的にいくつか示しておき、最後に認証の取得予定や、引き続き取り組んでいくといった将来の方針を述べる。 |
まとめ
今回は、情報セキュリティ報告書とは何か、またこれを作成するとした場合のポイントについてまとめてみました。各社のものは目次レベルのご紹介となりすべてを網羅できていませんが、もし作成することになった場合、参考になれば幸いです。
※記載の製品名は、各社の商標または登録商標です。
