- 更新日 : 2024年7月12日
内部統制で情報セキュリティ対策に取り組む方法|必要性についても説明
インターネットを使って業務を行うことが増えた現代において、「情報セキュリティ対策が大切」という言葉はよく耳にすることでしょう。しかし、具体的になぜ重要なのか、漠然とした理由しかわからないという方もいるのではないでしょうか。
この記事では、企業で情報セキュリティ対策が重要な理由と内部統制における情報セキュリティ対策の重要性、そして具体的な対策を解説します。情報セキュリティ対策にお悩みの担当者の方は、ぜひ参考にしてください。
目次
企業で情報セキュリティ対策が重要な理由
なぜ企業で情報セキュリティ対策が重要なのか、その理由は主に以下の2つです。
- 企業としての信用を守るため
- 多額の損失を被るリスクを軽減するため
情報セキュリティ対策が重要な理由を、それぞれ詳しく見ていきましょう。
企業としての信用を守るため
情報セキュリティ対策を怠り重大な事故などが発生してしまった場合、取引先や顧客から「あの会社は情報漏洩をしたから信用できない」というイメージをもたれかねません。その結果、売上の低下や取引中止などの事態に発展してしまう可能性だってあるのです。
一度信用を失うと、払拭するためには大変な努力が必要です。日頃からしっかりと情報セキュリティ対策に取り組むことで、企業としての信用を守ることができます。
多額の損失を被るリスクを軽減するため
情報セキュリティ対策を怠り情報漏洩が起こった場合、多額の損失を被る結果となります。支払い例として、以下のような費用が発生する可能性があります。
- 事故対応損害:被害発生から収束に向けた各種対応(コールセンター、DMなど)にかかる費用
- 賠償損害:情報漏洩により第三者から損害賠償請求された場合の費用
- 利益損害:ネットワーク停止により発生する利益損失や人件費などの費用
- 金銭損害:セキュリティ被害による直接的な金銭支払いによる損害費用
- 行政損害:個人情報保護法違反により科される課徴金などの費用
- 無形損害:風評被害や株価下落などによる損害
日本ネットワークセキュリティ協会の「インシデント損害額調査レポート2021年版」によると、個人情報漏洩による一人当たりの想定損害賠償額は28,308円。見舞い品として利用されることの多いQUOカードで額面は500円のものでも購入費用は530円程度になります。仮に10万人を対象とすると約5,300万円もの費用がかかる計算です。
また、個人情報保護法違反により、最大で1億円もの罰金が課せられるケースもあります。情報セキュリティ対策を徹底することで、こうした多額の損失を被るリスクを軽減することができます。
内部統制で情報セキュリティ対策に取り組む必要性
情報セキュリティ対策に取り組むなら、内部統制を整備する必要があります。内部統制を整備すると、情報セキュリティ対策の効率的な運用を実現できるためです。
経済産業省の「情報セキュリティガバナンスの概念」でも、企業の社会的責任の観点からも情報セキュリティ対策に対し、内部統制を用いて積極的に取り組む必要性について記載されています。内部統制で情報セキュリティ対策に取り組むことで、情報セキュリティガバナンスの確立をきっかけとしてコーポレート・ガバナンスを本格的に整備していくアプローチ方法もあることに触れています。
内部統制の情報セキュリティ対策の方法
では、内部統制における情報セキュリティ対策には、どういった方法が考えられるのでしょうか。不正な機器の持ち込みや、社員一人ひとりの意識改革など個人によるものもありますが、ここでは主に以下の3つについて解説していきます。
- パソコンの操作ログを管理する
- メールの送信ログを管理する
- 定期的にアカウントの棚卸しをおこなう
それぞれの対策方法を詳しく見ていきましょう。
パソコンの操作ログを管理する
内部統制で情報セキュリティ対策に取り組む場合、まずはパソコンの操作ログの管理を行うことが重要です。どのように有効なのかというと、操作ログを取ることで「誰が」「いつ」「どのような操作をしたか」が記録されるため、内部の人間の不正を防止できます。
また、外部から操作された場合でも、どのように操作したのかログが残る可能性があり、万が一のときも早急に原因を究明し、対策を打つことができるのがメリットです。一人ひとりにヒアリングしたり、外部機関の調査を待ったりする前に先手を打てる可能性があります。
メールの送信ログを管理する
内部統制で情報セキュリティ対策する場合、メールの送信ログを管理することも有効な方法のひとつです。メールの送信ログを管理することで、「誰が」「いつ」「誰に向けて」「何を送信したか」の記録が残ります。内部不正というリスクを防ぎ、問題が起こっても早急に対処できるようになります。
ログの管理にはシステムツールなどを用いると良いでしょう。例えば「マネーフォワード クラウド会計Plus」では仕訳について登録から差戻し、更新、そして承認まで更新履歴が閲覧可能なため、ログ管理がスムーズです。
定期的にアカウントの棚卸しをおこなう
定期的にアカウントの棚卸しをおこなうことも、内部統制の情報セキュリティ対策の方法です。アカウントの棚卸しとは、退職により使用しなくなったアカウントを管理し、必要に応じて削除することを指します。
アカウントの棚卸しを定期的におこなうことで、使わなくなったアカウントを使用しての不正アクセスを防ぎます。退職者にその意図がなくても、パスワードの流出により不正にログインされてしまう可能性もあるためです。
まとめ
万が一、情報漏洩が起こってしまうと多額の損失を被るばかりでなく、企業としての信用を失ってしまいます。一度失った信用を取り戻すのは、お金も時間もかかります。そのため、日頃から情報セキュリティ対策に取り組むことが大切です。
自律的・継続的な推進が効率的に実現できることから、内部統制で情報セキュリティ対策に取り組む必要性があります。内部統制で情報セキュリティ対策に取り組む方法として、まずはパソコンの操作ログやメールの送信ログの管理、定期的なアカウントの棚卸しに着手しましょう。
この記事をお読みの方におすすめのガイド4選
最後に、この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。
やることリスト付き!内部統制構築ガイド
内部統制を基礎から知りたい方・内部統制の導入を検討している担当の方・形式だけになっている内部統制を見直したい方におすすめの人気ガイドです。
内部統制の基本と内部統制構築のポイントをギュッとまとめています。
J-SOX 3点セット攻略ガイド
すべての上場企業が対象となるJ-SOX(内部統制報告制度)。
本資料では、IPO準備などでこれからはじめてJ-SOXに対応する企業向けにJ-SOXの基本からその対応方法までをまとめた、役立つガイドです。
経理担当者向け!Chat GPTの活用アイデア・プロンプトまとめ12選
経理担当者がChat GPTをどのように活用できるか、主なアイデアを12選まとめた人気のガイドです。
プロンプトと出力内容も掲載しており、コピペで簡単に試すことも可能です。
マネーフォワード クラウド会計Plus サービス資料
マネーフォワード クラウド会計Plusは、IPO準備・中堅〜上場企業向けの業務効率化と内部統制強化を実現するクラウド会計ソフトです。
銀行やクレジットカード連携で取引データを自動取得、AIによる自動仕訳で会計業務を効率化。周辺システムと連携することで、二重入力や確認工数を削減します。また、仕訳承認機能やユーザーごとの権限・ログ管理機能を搭載しており、内部統制にも対応。SOC報告書も提供しています。
よくある質問
内部統制で情報セキュリティ対策をおこなう理由は?
内部統制を整備すると、情報セキュリティ対策の効率的な運用を実現できます。内部統制で情報セキュリティ対策に取り組むことで、情報セキュリティガバナンスの確立をきっかけとしてコーポレート・ガバナンスを本格的に整備していくアプローチ方法もあります。
内部統制の情報セキュリティ対策の方法には何がある?
内部統制の情報セキュリティ対策の方法例として、以下の3つがあります。
- パソコンの操作ログを管理する
- メールの送信ログを管理する
- 定期的にアカウントの棚卸しをおこなう
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
内部統制におけるキーコントロールとは?識別のやり方やポイントを説明
内部統制において、キーコントロールの選定は重要です。比較的負担が大きいといわれる運用状況評価において、評価するコントロールが多いとより大きな負担となります。 本記事では内部統制におけるキーコントロールの識別方法や識別手順、コントロール数が多…
詳しくみる上場企業における関連会社とは?上場審査の項目や整理する時期・方法を説明
自社の上場を予定している場合、関連会社の取り扱いに困ることがあるかもしれません。状況によっては、関連会社が上場審査に悪い影響を与える可能性があるためです。 この記事では、関連会社の定義や子会社との違い、関連会社がある場合の上場審査項目、関連…
詳しくみるISMSの管理策とは?要求事項との違いやISO 27001:2022附属書A 93項目を解説
情報セキュリティ対策の重要性が叫ばれる中、ISMS認証取得を目指す企業が増えています。その核となるのが、リスクに対応するための具体的な方策「管理策」です。 とはいえ、「要求事項と何が違うの?」「たくさんあるけど、どう選べばいい?」と戸惑う方…
詳しくみる中小企業において内部統制が重要な理由3つ|進め方をわかりやすく説明
内部統制は法律で定める大企業、上場企業に義務化されています。しかし、対象外の企業も内部統制を構築しても何ら問題はありません。むしろ中小企業が内部統制を整備することで、企業の成長を促進できる可能性があるのです。 本記事では、中小企業に内部統制…
詳しくみるIPOの監査とは?段階ごとの監査内容や監査の役割を解説
IPOを目指す企業にとって、監査法人の役割は極めて重要です。 監査法人は、財務情報の正確性を確認し、内部統制や経営管理体制が適切であるかを評価します。IPO審査通過後も、上場企業としての透明性と信頼性を保つため、監査は欠かせません。 また、…
詳しくみる会社法における内部統制とは?対象企業や罰則規定・裁判例を紹介
内部統制とは、企業の不正などを未然に防ぎ、業務の適正を確保する社内体制をいいます。同じ内部体制という言葉でも、会社法と金融商品取引法での意味が違うため注意しなければなりません。 本記事では内部統制をおこなう目的や内部統制を構成する要素、内部…
詳しくみる