経営者は、情報セキュリティに関する最高責任者です。情報セキュリティ対策が不十分なために、企業が多大な損失を受けたり第三者に損害を与えたりすると、経営者自身が法的責任を問われ、罰則を受けることがあります。
参照:経済産業省「情報セキュリティガバナンス導入ガイダンス 情報セキュリティ関連法令の要求事項集」平成21年6月
(
http://www.meti.go.jp/press/20090630007/20090630007-3.pdf)
- J-SOX法での経営者責任
- J-SOX法により、経営者は、財務に関する情報が過失や故意により改ざんされないように内部統制を行ない、それが適切に運用されていることを報告する義務があります。その内部統制報告書に虚偽記載があった場合は、経営者個人が対象になる場合には、5年以下の懲役あるいは500万円以下の罰金が課せられます(法人が対象のときは5億円以下の罰金)。
- 個人情報保護法での両罰規定
- 個人情報保護法では、安全管理や利用者の監督義務があり、実際に違反した者と事業者の両方に、6ヶ月以下の懲役あるいは30万円以下の罰金罰則が科せられます。経営者は個人情報保護の最高責任者ですので、監督義務があり、経営者が事業者であるとみなされることもあります。
- 会社法による取締役責任
- 会社法には、取締役に任務懈怠(不作為)の罪があります。
任務懈怠とは、情報セキュリティ対策の体制を整備しなかった、体制はあるが適切に運用されていないのに是正措置を怠ったなどのことです。そのために、個人情報漏洩など第三者に損害を与えたときには、損害賠償を法人だけでなく取締役が訴えられることがあります。企業が多大な損失を生じたときには、株主代表訴訟で取締役が訴えられることがあります。
すなわち、J-SOX法や個人情報保護法で直接に処罰の対象にならなくても、訴訟の対象になることがあるのです。
このように、経営者には情報セキュリティ対策を適切に行う責任があります。情報セキュリティ対策を推進する方法に関しては、あまりにも大部になるので割愛し、ここでは経営者に留意してほしい事項をいくつか列挙するだけにします。
- 全社的運動である
- 情報セキュリティでは、とかくインターネットの脅威などが注目されるため、IT部門の任務であると思われがちです。ここまでにも再三述べてきたように、情報セキュリティ対策は全社的に取り組むことが必要です。とかく、このような対策は、社員の行動を制約したり監視するように思われがちです。また、かなりの作業を伴いますので、固有業務に追われている部門は消極的になりがちです。
情報セキュリティ対策が、会社として重要な事項であり、各部門の業務改善に役立ち、固有業務の一環なのだと認識させる必要があります。これができるのは経営者だけです。
- 監査・認定取得などの目的
- ISMS適合性評価制度、プライバシーマーク制度、情報セキュリティ監査制度など、第三者機関の認定を受けることは、自社の信用を高めることに効果的です。Web販売のため、取引先の維持拡大のために、外部圧力として認定取得をすることもありましょう。
しかし、「自社の情報資産を守る」「社外に迷惑をかけない」体制にすることが本来の目的です。社会的責任を果たすという認識をもち続けることが必要です。
しかも、そのような体制にすることは、業務の「見える化」につながります。情報セキュリティ対策を経営力強化の手段であると考えることにより、費用対効果が明確になるでしょう。
- 線香花火的関心は困る
- 経営者は、セキュリティポリシー策定時や認証取得時には高い関心を持ちますが、次第に関心を失います。情報セキュリティ対策は、PDCAによる継続的活動ですから、経営者が常に高い関心を維持してマネジメントすることが求められます。
維持・発展のための予算や人員を認めないし、経営者を委員長とする推進委員会も開催されず有名無実な存在になるような状況では、各部門も消極的になります。その結果、減らされた担当者だけが空回りし、適当に体裁だけを整えることに四苦八苦する状況になります。これでは、実効のある対策がとれるわけがありません。
- プロモータの人選
- いかに経営者が率先するとはいえ、経営者がこれに没頭することはできません。日常的な運動のプロモータが必要になります。情報セキュリティ対策は、全社員にとって必ずしも好感をもたれません。それを推進するのですから、かなりの指導力と権限が必要です。しかし、全社員が自律的に行動することが不可欠ですので、権力による強制的な押し付けは絶対に避ける必要があります。
強い信念をもつが、相手の状況をよく理解でき、信頼のある人材を人選することが重要なのです。そして、プロモータの活動が円滑にできるように、権限と資金を与えることが重要です。