Pマークから全社リスクマネジメントへ展開

JIS要求事項:3.7.1 運用の確認 どれくらいの頻度で実施すればいいの?

pmark-anchor 2009年8月28日 金曜日

 

こんにちは、個人情報保護アドバイザーの目木知明です。

 

高校野球の終わりと同時に急に涼しくなってきました。

 

先日は、わたくしのクライアント様が

高校野球の決勝戦が是非見たい!ということで

一緒に球場観戦していたのですが、すごい試合に遭遇しました!

9回表2アウトから6点差を追う日本文理は驚異的な粘りで

1点差の10-9まで追い上げる熱戦でした、

 

何事も最後まで諦めてはいけない!

と云う事を改めて感じさせてもらいました。

高校球児に感謝です。

 

さてさて、本題にはいります。

 

最近、プライバシーマークの担当者が

新規申請の時から見て、変更されている企業が多い状況です。

 

今後、このコラムにおいて

よくある質問と回答を一問一答シリーズとして

お伝えしていきたいと思っています。

是非、今後の取組みの参考にしてください。

 

●本日の質問

JIS要求事項:3.7.1 運用の確認

全部門、同じ頻度で点検を行わなければならないの?どれくらいの頻度で実施すればいいの?

 

事例を含めた、わたくしの考え方です。

 

特定した個人情報の重要性単位で運用確認の頻度を行うことがベストと考えています。

例えば、受託で個人情報の処理を行っている企業で、クライアントから支給された個人情報が

もっとも重要な個人情報のため、毎月運用の確認を行っている企業もあります。

 

この企業の場合、受託処理する以外の部署は3ヶ月単位での点検となっています。

個人情報の重要性、漏洩などの問題発生時の経営ダメージと合わせ(損失の把握)

運用確認の頻度を定められることが良いかと思います。

 

今後も、一問一答をお届けしますので

PMSの運用の参考となればと考えます。

 

本日はこのあたりで。

 

2009.0828

個人情報保護アドバイザー 目木知明

 

構築、運用のキーマン!貴社にリスクマネージャーはいますか?

pmark-anchor 2009年8月17日 月曜日

 

こんにちは、リスクマネジメントアドバイザーの目木知明です。

今年はお盆からカンカン照りが続きましたね。熱中症にはご注意くださいませ。

 

さて、本日はリスクマネジメント体制構築の組織作りについてお伝えしたいと思います。

 

全社統合的なリスクマネジメント体制をシステムとして運用するためには

まずそのための組織体制を整える必要があります。

 

体制は、一般的には経営トップ(経営会議メンバー及び取締役会メンバーを指す)の中から、

CRO(Chief Risk officer)が選任され、CROを委員長とするリスクマネジメント委員会を設置します。

 

この委員会は全社のリスクマネジメントに関する承認、諮問機関として

各部門や部署のリスクマネジメントを統括します。

また委員会の事務局として、実務面の統括機能を果たすのが「リスク管理部署」です。

そして「リスク管理部署」に所属するリスクマネージャーが

全社のリスクマネジメント体制の“キーマン”になります。

 

リスクマネジメント活動そのものを実施する主体はあくまでも各部門や部署であり、

「リスク管理部署」や「リスクマネジメント委員会」は

全社のリスクマネジメントの推進及び統括の役割を担います。

 

リスクマネージャーが委員会や推進の中心となりますので

全社のリスクを、全て把握・コントロールする指揮者表現しても良いでしょう!

 

最後に、全社システムのフレームワーク、体制を整えることによって

全社のリスクマネジメントを統括する仕組みができたことを社内外に明確に示すことが可能になります。

 

特にリスクマネジメントシステムの体制を整えることは、

社外(ステークホルダー)に対するアピールという意味でも重要です。

 

下記はリスクマネジント体制組織図の一例です。

ご参考にしてください。

http://www.risken.net/erm08.asp

 

本日はこのあたりで。

情報セキュリティの不備と会社役員の責任

pmark-anchor 2009年8月10日 月曜日

 

本日は情報セキュリティコンサルタントの岸本雅美がお届けします。

 

情報セキュリティの不備と会社役員の責任

 

一連の情報漏えい事故を振り返ってみると

相変わらず情報セキュリティに起因するものが多い。

事故件数でみれば人的ミス(ヒューマンエラー等)が多くを占めるが

流出した場合の個人情報の件数となると

電子情報の場合が圧倒的であり、影響もまた甚大である。

つまり情報セキュリティに係わるリスク対策が

最優先事項のひとつであることは事故結果をみても明らかだ。

しかし現状は、この情報セキュリティの不備の間隙を狙って

情報は持ち出され、流出し、被害を発生させている。

 

経済産業省の『情報セキュリティ関連法令の要求事項集(平成21年6月)』では

この問題について経営責任という視点で法律との関連性を解説している。

 

「情報セキュリティに関する体制が不備であるため、情報の漏えい、改ざん又は

滅失(消失)若しくは毀損(破壊)によって会社又は第三者に損害が生じた場合、

会社の役員(取締役・監査役等)は、どのような責任を問われ得るか」

 

という点については以下のような考え方を示している。

 

―――――――――――――――――――――――――――――――――

取締役会が決定した情報セキュリティ体制が、当該会社の規模や業務内容に

かんがみて適切でなかったため、情報の漏えい等により会社に損害が生じた

場合、体制の決定に関与した取締役は、会社に対して、任務懈怠(けたい)

に基づく損害賠償責任(会社法第423条第1項)を問われ得る。

また、決定された情報セキュリティ体制自体は適切なものであったとしても、

その体制が実際には定められたとおりに運用されておらず、取締役(・監査

役)がそれを知り、又は注意すれば知ることができたにも関わらず、長期間

放置しているような場合も同様である。

個人情報の漏えい等によって第三者が損害を被ったような場合、取締役・監

査役に任務懈怠につき悪意・重過失があるときは、第三者に対しても損害賠

償責任を負う。

―――――――――――――――――――――――――――――――――

 

説明としては

 

―――――――――――――――――――――――――――――――――

・取締役は、内部統制システムの構築義務の一環として、情報セキュリティ

体制を構築する義務を負うと解される。

・取締役会で決議された内部統制システムが、当該会社の規模や業務内容に

鑑みて、株式会社の業務の適正を確保するために不十分であった場合には、

その体制の決定に関与した取締役は、善管注意義務(会社法第330条・民法

第644条)違反に基づく任務懈怠(けたい)責任(会社法第423条1項)を

問われ得る。

・内部統制システムは適切なものであったが、その内部統制システムが実際

には遵守されておらず、取締役(・監査役)がそれを知り、又は注意すれば

知ることができたにも関わらず、それを長期間放置しているような場合にも、

善管注意義務違反に基づく任務懈怠責任を問われ得る。

・情報セキュリティ体制の構築又はその運用に欠陥があり、情報の漏えい等に

よって会社に損害が生じたときは、取締役(・監査役)は、以上の理由に基

づき、責任を負うことがあり得る。

―――――――――――――――――――――――――――――――――

 

また取締役(・監査役)が、悪意・重過失により、適切な情報セキュリティ体制を

構築せず、又は体制が適切に運用されていないのにこれを是正するのを怠った

場合に、個人情報の漏えい等によって第三者が損害を被ったときは、取締役

(・監査役)は、当該第三者に対しても責任を問われ得るとある。

 

これらは情報セキュリティリスクと経営責任を明確に示した一例であるが

コンプライアンス経営が強く求められる昨今において

また情報セキュリティガバナンスの効率性や有効性を高める意味においても

『情報セキュリティ関連法令の要求事項集』は極めて有用な資料と考える。

 

2009.08.10 岸本雅美

 

アクセス権限を有するユーザーの管理について

pmark-anchor 2009年8月6日 木曜日

 

先日、このような事件があった。

住友生命、従業員1652人分の個人情報がWinny流出

 

住友生命保険は29日、退職者を含む同社従業員の個人情報が

ファイル交換ソフト「Winny」のネットワーク上に流出したと発表した。

従業員のPCがウイルスに感染したことが原因。

 

流出したのは、2005年9月から2009年6月までに

同社横浜支社に在籍していた1652人の

氏名、生年月日、性別、所属、入退社年月日など。

 

該当者には個別に事情説明とお詫びをするとしている。

なお、顧客情報は一切流出していないという。

 

住友生命保険によれば、流出元となった従業員は

業務資料を作成するために、これらの情報を自宅のPCに保存。

その後、Winnyを介してウイルスに感染した。

同社は社内情報を社外に持ち出すことを禁止していた。

 

とコメントしている。

 

この事件について考察してみたい。

 

そもそも従業者1652名分の個人情報を取得できる立場は

アクセス権限管理上ではサーバやデータベースへアクセスすることを

許可された正規ユーザーであったのではと考える。

 

業務処理を行うための正規ユーザーでなければ、

個人情報の固まりへはアクセスできないハズである。

 

コメントでは、社内情報を社外に持ち出すことを禁止(内部規程に明文化)していたとあるが

おそらく日常業務が忙しく、週末などで自宅で作業を行おうと思い、

電子メールやUSBメモリ等で持ち出したのでは・・・と考える。

 

本来の管理は、定期的な点検で

メールログやUSBログについて確認し不適切な行為がないか

チェックする体制が必要である。

 

しかし、できていなかった・・・

おそらく、権限を与えられた管理者(者)だから、大丈夫だろう!

と点検が疎かになっていたのではないだろうか。

 

多くの企業で処理についてログを取得しているが

その作業内容が適正か不適正かを点検することが

実施出来ているのだろうか?

 

できていない場合、管理者(例えば情報システム管理者など)が寝返れば

個人情報の漏洩はたやすくできてしまう!とも言い換えられる。

 

特に、情報システム管理責任者の作業内容、

データベースにアクセスし大量の個人情報を操作できる者の行為については

上席のものが作業を行っている企業が多いが、

作業(行為)の点検は不可欠である。

点検機能が無い場合、管理者が寝返れば終わりである。

 

アクセス管理、アクセスログの取得、点検は

個人情報管理の中枢的な役割であるが、

対外的に十分点検できているとコメントできる企業は何社あるのだろうか。

 

本日はこのあたりで。

 

不祥事の連鎖

pmark-anchor 2009年8月1日 土曜日

 

本日は情報セキュリティコンサルタントの岸本雅美がお届けします。

 

不祥事の連鎖

 

金融機関からの情報流出が止まらない。

さらに、2次被害の発生・拡散は社会的な信用不安に繋がるため

最優先すべきリスクマネジメント事項であることは言うまでもない。

では何故こうした事件が無くならないのかという疑問に突き当たる。

 

リスクマネジメント視点で見れば

予見されるリスクに対しては、その影響度や発生の可能性を考慮した

リスクの回避、低減、移転あるいは受容という対策が一般的だ。

多くの場合はリスク低減措置に力点が置かれれるが

リスクがゼロになることはない。

想定されるリスクの規模に相応した管理策が選択され

かつ、その有効性がしっかりと検証されているかがポイントとなる。

 

クライシスマネジメント(危機管理)視点で見れば

顕在化したリスク(情報漏えい)に対して

被害の極小化が大きなテーマとなるが

クレジットカード情報の流出による不正使用の被害は最悪のケースである。

さらにA社Webサイトにはクレジットカード情報に関する

便乗詐欺の注意喚起がされている状況だ。

このままでは事態の収束まで相当の時間を要するだろう。

 

今回の事件は情報漏えいだけにとどまらず

2次被害の発生という最悪のシナリオが進行している。

オンラインでの保険契約者のクレジットカード情報が流出したことは

多くのネット利用者に衝撃を与えている。

まだ流出経路についての原因究明は継続中ではあるが

顧客情報のテストデータが流出した可能性との報道もある。

となればテストデータが“実データ”だったことになる。

 

いずれにせよ金融機関からの情報流出はあってはならない事態だ。

「信用」「信頼」に裏打ちされてこそ成り立つサービスであり

その前提条件が崩れることは会社の存続そのものをを脅かす。

リスク予見とリスクに見合う管理策の選択が適切であったか。

また、リスクが顕在化した際の“顧客利益の保護”は最善であったか。

仮に内部不正による情報流出の場合であれば

オペレーショナル・リスク管理の有効性は担保されていたのか等々。

“範”となるべき業界としての真摯な対応を期待したい。

 

2009.08.01 岸本雅美

損失の把握

pmark-anchor 2009年7月31日 金曜日

 

本日は損失の把握の重要性について記載します。

まず、損失とはリスク(不確実な事象)が発生した際に、

企業(又は組織)が受ける被害(金額やイメージダウンなど)が損失となります。

しかし、実際のところ多くの企業でこの損失が明確になっていないことが多い現状です。

 

先日、とある企業の広報部の方からお問い合わせを頂きました。

お電話の内容はこのような感じです。

 

広報担当者

『危機・問題が発生した際の広報対応についてレクチャー頂きたいのですが?』

 

『リスクは沢山ありますが、リスクの優先順位、損失の把握は明確でしょうか?

リスクの重要度、損失の大きいものに合わせて広報対応していきます。

例えば、問題が発生した際のリスク度合いに合わせて

記者会見レベルなのか書面による広報のみで良いのか

リスクの重要度(=損失の状況)に合わせたシミュレーションが必要と考えます。

 

広報担当者

『そこまで考えておらず、上司に言われるままに

広報部のリスク対応についてレクチャーしてくれる企業をさがしていました。

おっしゃる通り、リスクの優先順位が決まっていないのに

広報対応のレクチャーを受けてもあまり意味が無いですね・・・ もう一度社内で調整します』

 

とのことでした。

 

この問い合わせを頂いた企業の大きな問題は、

広報部とリスクマネジメント部門のコンセンサスが取れていないことです。

 

リスクの優先順位付けは損失の大きさによると言っても良いと思います。

会社法においても『損失の危険の管理に関する規程その他の体制』の構築が

要求されています。

 

最後に、事業全体のリスクマネジメントへの取組みスタートは

リスクの優先順位付け、損失の把握から始まります。

 

本日はこのあたりで。

罰則の強化

pmark-anchor 2009年7月27日 月曜日

 

こんにちは、個人情報保護アドバイザーの目木知明(めきともあき)です。

 

23日、生命保険会社のアリコジャパンから顧客情報が流出し、

同社は流出が原因でクレジットカードを不正使用された可能性が高いと発表した。

 

今回、流出の可能性が個人情報の11万件がすべて通信販売による契約者だった。

通販による保険の契約者はカード決済を利用することが多く、

アリコの保有契約640万件のうち、カード決済による契約は74万件に上ぼるという。

 

最近では、三菱UFJ証券の事件もあり

(元部長代理が会社の個人情報のデータを持ち出し名簿業者などに売却)

個人情報の管理の在り方が形骸化していること、

そして、法制度の不備も各方面から指摘されている。

 

<不備内容>

・刑法は情報そのものを盗むことに罰則を科していない。

・個人情報保護法にも、情報を故意に持ち出した個人を取り締まる条文がない。

・法人罰は是正勧告にしたがわない場合に6月以下の懲役又は30万円以下の罰金が科される程度

 

このため罰則が弱いのでは・・・

と事故が起きる度に何度も指摘されているが

なかなか法整備が進まない現状である。

 

このたびのアリコジャパンの事故を受け、

与謝野馨財務・金融担当相が「法律改正による厳罰化などの議論が必要」としており

「情報の窃盗」に対する抜本的な法整備が急務である。

とコメントしている。

 

罰則が厳しくなることで、

個人情報の管理が厳格に行えるのであれば

早急に制度の見直しを行うべきであろう。

 

本日はこのあたりで。

 

部門別リスクマネジメントでは何が問題なのか!?

pmark-anchor 2009年7月14日 火曜日

 

こんにちは、リスクマネジメント・アドバイザーの目木知明(めきともあき)です。

暑い日々が続いていますね。

本格的な夏到来の前にこの暑さ・・・今夏はどれくらいの暑さになるのでしょうか!

 

さてさて、本題です。

「部門別リスクマネジメントでは何が問題なのか!?」

 

現在、ISOやプライバシーマーク等の第三者認証を通じてリスクマネジメントへの取り組みが行われ、

個々に一定の対策がとられていれば、それで十分だと考えられています。

 

しかしこの場合、リスクや問題点は、経営層や他部門に本当に全て伝わっているのでしょうか?

 

実際はプロジェクトや部門の中で完結され、情報が伝わっていないことがよく見受けられます。

 

経営層や他部門に伝わっていない場合、

『リスクの優先順位づけ』

『相対的なリスクの位置づけ』

『点在するリスクの集約」が

“できていない”ということになります。

 

これは縦割りされた組織環境によく見られる傾向です。

 

つまり、部門別リスクマネジメントでは、企業が全社横断的にリスクに対応するための体制や、

情報の流れ(リスクコミュニケーション)が整備されていない場合が多いです。

 

そのため、部門別のリスクマネジメントではこのような問題が顕在化する可能性があります。

 

・リスク対策の実施が管理できず、大事故や事件が起こる

・複数の部門、部署で同じリスク対策が取られている

・部門、部署の間で重大なリスクが放置されている

・全てのリスクの管理者が不明となり責任の所在が曖昧である

 

このようなことから全社リスクマネジメントが求められています。

 

本日はこのあたりで。

統合的な全社リスクマネジメントが求められる理由

pmark-anchor 2009年6月30日 火曜日

 

こんにちは、リスクマネジメント・アドバイザーの目木知明(めきともあき)です。

本格的な梅雨が続いていますね。

もう、毎日ムシムシいやですねえ。最近メタボ対策にランニングを始めましたが

始めたとたんに雨が続き早くも出ばなが挫かれています・・・

 

本日は、統合的な全社リスクマネジメント(事業リスクマネジメント)が

求められる理由についてお伝えしていきます。

 

ここ数年で、経営環境は今までに無いスピードで変化しています。

統合的なリスクマネジメント(エンタープライズ・リスクマネジメント)の

必要性が高まった背景として以下の経営環境の変化が考えられます。

 

(1)会社法、金融商品取引法の改正

法改正により業務の適正を確保するための体制構築が義務づけられ

適切な情報開示や法令遵守などが求められている。

よって違反行為を行った場合は、マーケットからの退場を意味するものとなる。

 

業務の適正を確保するための体制構築とは!?

違法行為や不正、ミスやなどが行われることなく

組織が健全かつ有効・効率的に運営されるよう

所定の基準や手続きを定め、それに基づいて管理・監視・保証を行うこと。

 

(2)組織体制の変化(雇用環境の変化、委託依存社会)

終身雇用体制が崩れていく中、人材の流動化によるオペレーションレベルの変動

アウトソーシング型経営がもたらす業務委託の依存など組織体制はここ数年で大きく変動している。

 

(3)規制緩和の進展

規制緩和が進み自己責任に基づく事後規制へと社会的枠組みが変わっていく中で

企業がそれぞれの判断でリスクを管理し収益を上げていくことが必要となってきている。

 

(4)経営管理のあり方の変化

当事者間の暗黙の了解や信頼開係のみに依存した経営管理のおり方に限界が生じてきている。

 

(5)リスクの多様化

「急速な技術進歩」「事業の国際化」「事業展開のスピードアップ」

「社会システムの複雑化・高度化」によりリスクが今までに無く、多様なものとなってきている。

 

(6)説明責任の増大

市場経済が進展していく中でリスクの特定・評価対応を怠った場合

ステークホルダーに損害を与えるとともに市場の信頼を失い、企業自らも厳しいペナルティを受けることになる。

 

このような視点から事業全体をマネジメントするリスク管理が必要なのではないでしょうか?

 

本日はこのあたりで。

 

2009/06/30 目木知明

会社法『業務の適正を確保するための体制』とは?

pmark-anchor 2009年6月15日 月曜日

取締役が『善管注意義務違反』として訴訟されないために

会社法の求める『業務の適正を確保するための体制』づくりとは?

 

こんにちは、リスクマネジメント・アドバイザーの目木知明(めきともあき)です。

 

蒸し暑い不快指数上昇な日々が続いていますね。

わたしは全国出張が多いので夏の暑さを乗り切る

ベストアイテムなどがございましたら是非教えてください。

 

さて、コラムをお届けします。

 

まず、会社法上では、『業務の適正を確保する体制』が求められています。

仮に、会社法の要求する体制構築が未整備であり

ステークホルダー(株主、顧客、クライアント、従業者等)に損害が発生した場合、

取締役が『善管注意義務違反』として訴えられるリスクが高まって来ています。

(株主代表訴訟等)。

 

即ち言い換えれば、事業を営む上での問題点・不確実性を洗い出し、

当該リスクを適切にコントロールする体制を整備する事

(損失の危険の管理に関する規程その他の体制整備)は、

ステークホルダーに対し取締役の義務を全うしている事の証明と言えるでしょう。

 

実際のところ、会社法の要求する体制整備や、

全社の事業リスク管理といっても具体的な指針もなく、

大手の企業も実効性のある仕組みの構築には至っていないのが実情です。

 

弊社では、会社法の求める『業務の適正を確保するための体制』に準拠するためには

全社リスクアセスメント(全社実態調査)からスタートしています。

 

これから全社統制に向けて仕組みづくりをお考えの企業さまは、

まずは会社法の求める『業務の適正を確保する体制』の“準拠”から

導入されることをお奨めいたします。

 

現状調査を行う上での参考項目を記載しましたので

下記をご参考にしてください。

 

http://www.risken.net/erm12.asp

 

本日はこのあたりで。

 

2009/06/15 目木知明