- 作成日 : 2023年4月7日
内部統制で情報セキュリティ対策に取り組む方法|必要性についても説明
インターネットを使って業務を行うことが増えた現代において、「情報セキュリティ対策が大切」という言葉はよく耳にすることでしょう。しかし、具体的になぜ重要なのか、漠然とした理由しかわからないという方もいるのではないでしょうか。
この記事では、企業で情報セキュリティ対策が重要な理由と内部統制における情報セキュリティ対策の重要性、そして具体的な対策を解説します。情報セキュリティ対策にお悩みの担当者の方は、ぜひ参考にしてください。
目次
企業で情報セキュリティ対策が重要な理由
なぜ企業で情報セキュリティ対策が重要なのか、その理由は主に以下の2つです。
- 企業としての信用を守るため
- 多額の損失を被るリスクを軽減するため
情報セキュリティ対策が重要な理由を、それぞれ詳しく見ていきましょう。
企業としての信用を守るため
情報セキュリティ対策を怠り重大な事故などが発生してしまった場合、取引先や顧客から「あの会社は情報漏洩をしたから信用できない」というイメージをもたれかねません。その結果、売上の低下や取引中止などの事態に発展してしまう可能性だってあるのです。
一度信用を失うと、払拭するためには大変な努力が必要です。日頃からしっかりと情報セキュリティ対策に取り組むことで、企業としての信用を守ることができます。
多額の損失を被るリスクを軽減するため
情報セキュリティ対策を怠り情報漏洩が起こった場合、多額の損失を被る結果となります。支払い例として、以下のような費用が発生する可能性があります。
- 事故対応損害:被害発生から収束に向けた各種対応(コールセンター、DMなど)にかかる費用
- 賠償損害:情報漏洩により第三者から損害賠償請求された場合の費用
- 利益損害:ネットワーク停止により発生する利益損失や人件費などの費用
- 金銭損害:セキュリティ被害による直接的な金銭支払いによる損害費用
- 行政損害:個人情報保護法違反により科される課徴金などの費用
- 無形損害:風評被害や株価下落などによる損害
日本ネットワークセキュリティ協会の「インシデント損害額調査レポート2021年版」によると、個人情報漏洩による一人当たりの想定損害賠償額は28,308円。見舞い品として利用されることの多いQUOカードで額面は500円のものでも購入費用は530円程度になります。仮に10万人を対象とすると約5,300万円もの費用がかかる計算です。
また、個人情報保護法違反により、最大で1億円もの罰金が課せられるケースもあります。情報セキュリティ対策を徹底することで、こうした多額の損失を被るリスクを軽減することができます。
内部統制で情報セキュリティ対策に取り組む必要性
情報セキュリティ対策に取り組むなら、内部統制を整備する必要があります。内部統制を整備すると、情報セキュリティ対策の効率的な運用を実現できるためです。
経済産業省の「情報セキュリティガバナンスの概念」でも、企業の社会的責任の観点からも情報セキュリティ対策に対し、内部統制を用いて積極的に取り組む必要性について記載されています。内部統制で情報セキュリティ対策に取り組むことで、情報セキュリティガバナンスの確立をきっかけとしてコーポレート・ガバナンスを本格的に整備していくアプローチ方法もあることに触れています。
内部統制の情報セキュリティ対策の方法
では、内部統制における情報セキュリティ対策には、どういった方法が考えられるのでしょうか。不正な機器の持ち込みや、社員一人ひとりの意識改革など個人によるものもありますが、ここでは主に以下の3つについて解説していきます。
- パソコンの操作ログを管理する
- メールの送信ログを管理する
- 定期的にアカウントの棚卸しをおこなう
それぞれの対策方法を詳しく見ていきましょう。
パソコンの操作ログを管理する
内部統制で情報セキュリティ対策に取り組む場合、まずはパソコンの操作ログの管理を行うことが重要です。どのように有効なのかというと、操作ログを取ることで「誰が」「いつ」「どのような操作をしたか」が記録されるため、内部の人間の不正を防止できます。
また、外部から操作された場合でも、どのように操作したのかログが残る可能性があり、万が一のときも早急に原因を究明し、対策を打つことができるのがメリットです。一人ひとりにヒアリングしたり、外部機関の調査を待ったりする前に先手を打てる可能性があります。
メールの送信ログを管理する
内部統制で情報セキュリティ対策する場合、メールの送信ログを管理することも有効な方法のひとつです。メールの送信ログを管理することで、「誰が」「いつ」「誰に向けて」「何を送信したか」の記録が残ります。内部不正というリスクを防ぎ、問題が起こっても早急に対処できるようになります。
ログの管理にはシステムツールなどを用いると良いでしょう。例えば「マネーフォワード クラウド会計Plus」では仕訳について登録から差戻し、更新、そして承認まで更新履歴が閲覧可能なため、ログ管理がスムーズです。
定期的にアカウントの棚卸しをおこなう
定期的にアカウントの棚卸しをおこなうことも、内部統制の情報セキュリティ対策の方法です。アカウントの棚卸しとは、退職により使用しなくなったアカウントを管理し、必要に応じて削除することを指します。
アカウントの棚卸しを定期的におこなうことで、使わなくなったアカウントを使用しての不正アクセスを防ぎます。退職者にその意図がなくても、パスワードの流出により不正にログインされてしまう可能性もあるためです。
まとめ
万が一、情報漏洩が起こってしまうと多額の損失を被るばかりでなく、企業としての信用を失ってしまいます。一度失った信用を取り戻すのは、お金も時間もかかります。そのため、日頃から情報セキュリティ対策に取り組むことが大切です。
自律的・継続的な推進が効率的に実現できることから、内部統制で情報セキュリティ対策に取り組む必要性があります。内部統制で情報セキュリティ対策に取り組む方法として、まずはパソコンの操作ログやメールの送信ログの管理、定期的なアカウントの棚卸しに着手しましょう。
よくある質問
内部統制で情報セキュリティ対策をおこなう理由は?
内部統制を整備すると、情報セキュリティ対策の効率的な運用を実現できます。内部統制で情報セキュリティ対策に取り組むことで、情報セキュリティガバナンスの確立をきっかけとしてコーポレート・ガバナンスを本格的に整備していくアプローチ方法もあります。
内部統制の情報セキュリティ対策の方法には何がある?
内部統制の情報セキュリティ対策の方法例として、以下の3つがあります。
- パソコンの操作ログを管理する
- メールの送信ログを管理する
- 定期的にアカウントの棚卸しをおこなう
まずはセキュリティシステムを活用し、上記の方法に取り組んでいきましょう。
※ 掲載している情報は記事更新時点のものです。
