情報セキュリティのガバナンスとマネジメント：情報セキュリティガバナンスを確立せよ（6）（1/2 ページ）

　この定義から2つのことが読み取れる。1つは、情報セキュリティガバナンスはコーポレートガバナンスの一部であること、もう1つは、情報セキュリティガバナンスは、コーポレートガバナンスと内部統制の仕組みの両方の要素を包含していることである。

　それでは、コーポレートガバナンスとは何であろうか。経済産業省の「企業行動の開示・評価に関する研究会」の報告書は、コーポレートガバナンスを「企業経営を規律するための仕組み」と定義しており、企業経営を担うのは企業経営者であるので、基本的には「企業経営者（代表取締役社長といった経営トップのみならず経営を執行する経営陣を指す）をどのように規律するか」という問題になると解説している。同様に、内部統制は「企業経営者の経営戦略や事業目的等を組織として機能させ達成していくための仕組み」と定義しており、「企業がその業務を適正かつ効率的に遂行するために、社内に構築され運用されるプロセスともいえる」と解説している。

　ちなみに、同研究会報告書はリスク管理を「企業経営者が企業経営を行い利益を追求していく上で、企業を取り巻く様々な事象が抱えている不確実性というリスクに個々に対応するのではなく、経営理念、事業目的等に照らして経営に重大な影響を及ぼすリスクを企業経営者が認識・評価し対応していくマネジメントの1つ」と定義している。

　つまり、コーポレートガバナンスは「企業経営者をどのように規律するか」という問題であり、リスク管理および内部統制は「企業経営者が自らの企業をどのように規律するか」という問題であると整理されている。情報セキュリティマネジメントは、ここでいうリスク管理の一環と理解すべきであろう。

「マネジメント」と「ガバナンス」の意味の違い

　これらからいえることは、情報セキュリティガバナンスとは、情報セキュリティの確保について企業の経営者を規律することであり、そのための内部統制の仕組みも包含していることになる。また、情報セキュリティマネジメントは、企業のリスク管理の一環として、経営者が情報セキュリティにかかわるリスクに関して自らの企業を規律することである。

　ここで理解に混乱を来しがちなのが、「情報セキュリティの観点から内部統制の仕組みを確立すること」と、「情報セキュリティマネジメント」とがどのように関係するかという点である。これが、情報セキュリティにかかわるガバナンスとマネジメントがオーバーラップしていると多くの人が感じる原因になっていると考えられる。

　しかし、ここでいう「内部統制の仕組み」を、「情報セキュリティマネジメントを可能とする内部統制の仕組み」といい換えると、この疑問が解消し、情報セキュリティガバナンスの本来の意味がより鮮明に理解できるのではないであろうか。