澤田直彦
監修弁護士:澤田直彦
弁護士法人 直法律事務所 代表弁護士
IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。
本記事では、
「株式上場(IPO)と情報セキュリティ」
について、詳しくご解説します。
情報セキュリティとは
情報セキュリティとは、一般に、次の3要素を維持することをいいます。
☆機密性(Confidentiality) =正当な権限者だけが情報に接触できるようにし、機密性を保つ事
☆完全性(Integrity) =情報が、不正に改ざんされたり破損されたりせず、完全な状態を保つ事
☆可用性(Availability) =利用者が必要な時に安全にアクセスできる環境である事
それぞれの頭文字をとってCIAと略される事もあります。
ISMSに関する規格
2016年、ZMPというベンチャー企業は、上場承認を受けた直後に不正アクセスを受け、これにより約1万件の顧客情報がインターネット上に流出するという事件が起こりました。
これを受けて、ZMPは、セキュリティ対策の強化を図る必要がある等として、上場の延期を発表しました。
このように、上場をする為にはセキュリティ対策をきちんと行っている必要があります。
実際に法人や組織で情報セキュリティを如何に維持していくかという対策を、情報セキュリティマネジメントシステム(Information Security Management System)、略してISMSと呼びます。
ところで、ISMSには、ISO/IEC 27001という規格があります。この規格の認証を受けることで、顧客などに、十分に情報セキュリティ対策を行っているという事を証明できるのです。
これは、情報漏洩のニュースが後を絶たない現代において、顧客の信用を獲得するにあたって、会社にとって大きなメリットといえるでしょう。
認証の取得・維持の流れについては、認証取得・維持の流れ | ISO/IEC 27001(情報セキュリティ) | ISO認証 | 日本品質保証機構(JQA)
なお、ISO/IEC 27001は情報セキュリティ全般に関する規格ですが、更にクラウドサービスにも対応できる情報セキュリティに関する規格としてISO/IEC 27017もあります。
ISO/IEC 27001と同時に審査してもらえますが、ISO/IEC 27001とは別々に登録証が発行されます。
また、個人情報を適切な管理に関する規格としてJIS Q 15001があり、これ単独の審査もISO/IEC 27001との組み合わせ審査もできます。
これと似たプライバシーマークとの違いについては、下記の表をご覧ください。
| JIS Q 15001 | プライバシーマーク認証 | |
|---|---|---|
| 対象・単位 | 基本的に任意 | 法人単位 |
| 適用/認定基準 | JIS Q 15001 | JIS Q 15001 |
| 有効期間 | 3年更新(その間1年ごとに定期審査) | 2年更新 |
| 審査機関 | JQA(一般財団法人 日本品質保証機構) | 指定審査機関 |
| 証書 | JQA発行のJIS Q 15001登録証 | JIPDEC(一般財団法人 日本情報経済社会推進協会)発行のプライバシーマーク登録証 |
| 他規格との組み合わせ | ISO/IEC 27001と組み合わせ審査可能 | 単独審査のみ |
プライバシーマークの申請については、プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)をご参照ください。
具体的に講じるべき措置のビジョン
情報のライフサイクル(生成→利用→保存→廃棄)の各段階において、上記の3要素が維持されているかを確認すると良いでしょう。
すなわち、
①生成時
☑正確な(完全な)情報を扱って情報を生成したか
②利用時
☑アクセスできる者を制限し、パスワードを活用しているか(機密性)
③保存時
☑情報の会社外部への持ち出しができないように、保管室の入退記録をつけ施錠を徹底する等、厳重に保存できているか(機密性)
☑天災等によるシステム障害によりA支店で情報にアクセスできなくなっても、B支店でその肩代わりができるような情報の管理体制を構築できているか(可用性)
☑無停電電源装置は設置しているか(可用性)
☑バックアップは定期的にとっているか(可用性や完全性)
④廃棄時
☑廃棄時にはシュレッダーにかける等の処理を徹底しているか(機密性)
などです。
段階別にcheckすれば、常に適切に情報セキュリティ対策を行うことができます。
PDCAサイクル
また、上記認証を受けるには、情報管理に係るPDCAサイクルを構築する事が大切です。
具体的に言えば、
Plan
企業の持つ情報資産や企業の規模・体制を踏まえ、それに見合った情報セキュリティポリシーを策定する
⇩
Do
マニュアルの作成や研修の実施等を通して従業員への教育・指導を徹底させ、セキュリティポリシーを運用してみる
⇩
Check
日常的なモニタリングと定期的な内部&外部監査を実行する
⇩
Act
それらの結果を踏まえて定期的に管理方針を見直し、改善させる
という流れを保つことが大切なのです。
<Plan>
情報の上記3要素を維持していくために規定する組織の方針や行動指針をまとめたものを、情報セキュリティポリシーと呼びます。
画一的な内容ではなく、当該会社の持つ情報資産や規模を踏まえ、当該会社に最もふさわしいものを作る必要があります。またこれがPDCAサイクルのおおもとになりますから、非常に重要です。
適切な人材を集めて情報セキュリティ委員会を立ち上げる等、責任者を明確にして、外部のコンサルタントや弁護士の助言も取り入れながら、策定すると良いでしょう。
情報セキュリティポリシーは、「基本方針」→「対策基準」→「実施手順」の3段階で構成するのが一般的です。
「基本方針」には、会社の代表者等のリーダーが「なぜ情報セキュリティが必要なのか(目的)」「情報セキュリティについてどのような方針で取り組むのか(監査に関する組織体制や違反時の対処)」といった宣言・理念を記載します。これにより、会社が一丸となって情報セキュリティに取り組むべきだという雰囲気が生まれます。
次に、会社の持つ情報資産を洗い出し、それらが持つリスクを分析して、「対策基準」に、どのような情報セキュリティ対策を行うのかという一般的な指針を記載します。例えば、「教育基準」「コンピューターウイルス対策基準」「施設の施錠に関する基準」等です。
そして、「実施手順」に、対策基準ごとに、実施すべき具体的な情報セキュリティ対策の内容を記載していきます。
例えば、「IDカードの発行手順」「研修の実施手順」「ウイルス対策ソフトの導入・更新の手順」等です。
このような記載方式をとれば、例えば、万が一、実施手順の記載文言の解釈に疑義が生じた場合にも、一般的な指針に遡って、それに沿うように解釈することが可能ですし、PDCAサイクルのAct段階で新たなセキュリティ対策を追加したい場合やセキュリティ対策の内容を改めたい時に、改定がしやすくなります。
サンプルについては、
JNSA(日本ネットワークセキュリティ協会)が公開している情報セキュリティポリシーサンプル改版
、
IPA(情報処理推進機構)が公開している中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構の付録5、
等をご参照ください。
<Do>
如何なる情報が営業秘密又は個人情報として厳重な管理下に置かれるべきものなのか、従業員間で認識のズレがあると、不十分な管理による情報漏洩が生じやすくなりますし、トラブルの発見の遅れ等、臨機応変な対処がしにくくなります。
その為、ただ情報セキュリティポリシーを公開するだけでなく、「秘」マークや暗号の使用、マニュアルの作成・配布等により、情報の管理について教育・指導を徹底し、従業員間で認識を一致させておくことは非常に大切です。
実際に起こった事例を取り上げた講義を外部の弁護士等に依頼し、犯罪の手口や原因について従業員に知識を深めてもらうことは有益です。
例えば、ホームページの改ざんの主な原因は、FTPサーバの管理で安易なパスワードを設定してしまった事にあると言われていますが、こうした知識があれば、パスワードを設定する際の従業員の姿勢にも変化が現れるはずです。
その他、如何なる内容についてどの程度指導すればよいのかについて(例えば、パスワードの管理の仕方等)は、社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイトをご参照ください。
また、退職すれば一切の秘密保持義務から免れられると誤解している従業員や、故意で会社に嫌がらせする目的でトラブルを起こす従業員の存在も、全くいないと断言することはできませんから、就業規則に秘密保持義務・競業避止義務を規定したり、従業員や退職者と個別に秘密保持契約等を締結したりする事が有益です。
秘密保持契約の書き方等については、経済産業省が公開している「秘密情報の保護ハンドブック」及びその「参考資料2 各種契約書等の参考例」をご参照ください。
<Check>
まず、日頃から風通しの良い職場環境を作っておくことが大切です。
そして、情報セキュリティ委員会等を中心に、トラブルや疑わしい現象があった時には匿名で情報セキュリティ委員会等に報告できるような制度を作り、セキュリティポリシーが守られているのか、確認しましょう。
また、内部告発に関するセミナーを実施したり、社長が内部告発に関してメッセージを発する等して、従業員が内部告発(企業内通報を含む)を躊躇してしまう雰囲気をなくし、トラブルを早期に発見できるような状態にしておくことも大切です。
社内内部にいる人間ではどうしても見えにくい点については、外部のコンサルタントや弁護士にも協力してもらい、定期的に監査しましょう。
<Act>
セキュリティポリシーがうまく運用されていなかったり、新たな犯罪の手口が流行し始めたりしたときは、きちんと運用され、新たなリスクにも対応できるように、セキュリティポリシーを改善させることが重要です。
例えば、トラブルの原因が、人事に不満のある社員が会社への嫌がらせとして起こしたものだった場合も、過去の事例にはありますが、そうした場合、人事制度の改革に乗り出す、社員の意見を汲み取るシステムを構築する、などの改善策が考えられます。それに取り組む事で、今後のトラブルの減少・防止に繋がります。
また、2021年1月27日に、IPA(情報処理推進機構)が、「情報セキュリティ10大脅威 2021」を決定しましたが、その中には、「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場し、かつ組織部門のランキングでは3位でした。そのほかのランキングについては、「情報セキュリティ10大脅威 2021」:IPA 独立行政法人 情報処理推進機構をご参照ください。
各脅威の手口、傾向や対策についても公開されています。
情報セキュリティに関する詳しい情報については、以下のサイトもご参照ください。
IPA 独立行政法人 情報処理推進機構:情報セキュリティ、中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
【関連記事】
株式上場(IPO)と情報漏洩の対応と対策
株式上場(IPO)のメリット・デメリット
直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。
