1 0 0 0 OA 情報セキュリティガバナンス体制について
- 著者
- 金子 啓子 原田 要之助
- 雑誌
- 研究報告電子化知的財産・社会基盤(EIP) (ISSN:21888647)
- 巻号頁・発行日
- vol.2018-EIP-79, no.7, pp.1-10, 2018-02-09
情報システム部門は,情報セキュリティだけではなく,現実の運用やコストダウンの要求への対応,新たなシステムの企画 ・ 開発 ・ 導入など,様々な要請を解決する立場にあり,必ずしも情報セキュリティが優先されるわけではない.権限分離を考えると,情報セキュリティの社内ガバナンスは情報システム部門とは異なる別の部門が担当するべきかもしれないが,情報システム部門との緊張関係も生じ,リソースやスキル上の重複という課題もある.この論文では,情報セキュリティ大学院大学原田研究室のアンケート結果の分析等により,CISO を始めとした情報セキュリティガバナンス体制の現状と課題を分析し,あるべき体制を考察する.
- 著者
- 金子 啓子
- 出版者
- 日本セキュリティ・マネジメント学会
- 雑誌
- 日本セキュリティ・マネジメント学会誌 (ISSN:13436619)
- 巻号頁・発行日
- vol.32, no.3, pp.19-33, 2019-01-25 (Released:2019-03-25)
- 参考文献数
- 48
個人情報の取扱や ICT を利用したサービスの構築、運用では、委託の多段化が進み、それに対する情報 セキュリティの確保が必要となっている。既に、法律や政府の政策、ISO も、サプライチェーンにおける情 報セキュリティを要請している。しかし、一旦インシデントが発生すると、委託元・委託先間での責任分界 が問題となることが考えられ、委託元としては踏み込んだ協力を躊躇することも考えられる。一方、脅威や 技術の進化により、情報セキュリティインシデントを完璧に防御することが難しくなるのに従い、経済合理 性の範囲内で可能な限り高い情報セキュリティの構築に努めてきた事業者にとり、インシデント発生の責任 を問われるとすれば、無過失責任に近づくとも言える。その課題の解決には、同じ無過失責任の製造物責任 法の実務を参考にできる。就中、製造物責任訴訟の経験豊富な保険会社が被保険者を代行して紛争処理まで 行う米国の製造物責任保険のような保険や、保険契約を梃子にした製造物責任の専門家による仲裁制度ができれば、責任分界を気にせずに、サプライチェーンとして協力してセキュリティレベルを上げていくことができると考えられる。これは、複数の事業者からサービスやデータを「仕入れ」てサービスを提供する IoT を利用したサービスでも有効である。