情報セキュリティーマネジメントのキーポイントともなる情報漏えい防止について日本版SOX法、個人情報保護法、e‐文書法施行で求められるコンプライアンスなどの観点も含めて詳細に解説している書籍を紹介します。
本書:「最新 情報漏洩防止マニュアル―日本版SOX法、個人情報保護法、e‐文書法施行で求められるコンプライアンス」です。著者は、酒巻 久氏ならびにキヤノン電子情報セキュリティ研究所で2006年2月にアスキーより発行されています。
エンロンやワールドコムなど大企業における巨額の粉飾決算事件を受け、米国で2002年に制定されたSOX法(サーベインス・オックスリー法:企業改革法)があります。
これは、正式には「Public Company Accounting Reform and Investor Protection Act of 2002:上場企業会計改革および投資家保護法」といい、法案を連名で提出したポール・サーベンス(Paul Sarbanes)上院議員、マイケル・G・オクスリー(Michael G.Oxley)下院議員の名にちなんで、「サーベンス・オクスリー法(Sarbanes‐Oxley act)」と呼ばれます。
日本でも同様の事件が多発していることから、2005年7月に金融庁企業会計審議会内部統制部会が公表した「財務報告に係る内部統制の評価及び監査の基準案」に基づく法規制(日本版SOX法)が整備されようとしております。
金融庁では、証券取引法の抜本改正となる金融商品取引法(投資サービス法)案を2006年3月にも国会に提出・成立させ、早ければ2008年3月期、遅くとも2009年3月期に本決算を迎える上場企業およびその連結子会社を対象に適用を目指していると伝えられています。
本書では、情報セキュリティーマネジメントの要諦ともなる企業の内部統制の強化のためにも「ログマネジメント」を徹底することを強調しております。「ログマネジメント」とは、インターネットのアクセス履歴やメール操作の履歴、アプリケーションの稼働状況などを適切に収集し、保存、分析することであります。これによって、コンピュータへの不正侵入を検出したり、情報漏洩などの不正を早期に発見することができます。また、内部統制が適切に働いていることの証明する上でも有効なツールとなるとのことであります。
本書では、内部統制強化に有効なログマネジメントの考え方をベースに、日本版SOX法、個人情報保護法、不正競争防止法、e-文書法などの現状を詳しく紹介しております。またリスクマネジメントから業務改善まで、「三ツ星ベルト」、「三木市立教育センター」での事例を交えながら分かりやすく解説していています。
「コンプライアンス:ルールの遵守」と「効率」という一見矛盾しているように思われることが、実は利益への近道だということについて分かり易く解説されています。
最新 情報漏洩防止マニュアル―日本版SOX法、個人情報保護法、e‐文書法施行で求められるコンプライアンス 酒巻 久 キヤノン電子情報セキュリティ研究所 アスキー 2006-02 売り上げランキング : Amazonで詳しく見る by G-Tools |
なお本書の目次は、以下の内容です。
第1章 個人情報保護法施行以降も後を絶たない情報漏洩
1 個人情報保護法に関係なく漏れる現状
1カ月に80件以上の漏洩が起きている
原発の情報までが漏れる
委託先からも多数の漏洩
2 情報漏洩がなくならない背景
Winnyで不特定多数に広がるリスクが増大
社員のルール違反
3 ログで分かる職場の実態
どの会社にも2割の問題児
ロス金額はいくらになるか
高いリムーバブルメディアの使用頻度
音楽ファイル交換が急拡大
危険なウェブメール
4 ログの最大効果は予知能力
ログはIT資産を活用するためのもの
問題が起こる前に対処する
第2章 ログが必要な時代背景
−−企業に求められているコンプライアンス
1 米国発のSOX法は対岸の火事ではない
あらゆる規制を盛り込んだSOX法
−−SOX法の概要
急速に進む国内での「内部統制」
−−内部統制に関わる国内の動き
日本でももうすぐ法制化か?
−−注目される金融庁の公開草案
ITの活用が欠かせない−−ログが重要視される理由
2 本格的な電子文書化の時代へ
−−文書類の保存コストを軽減するe―文書法
いまだに内容の理解度が低いe―文書法
整備進む文書の電子化 −−電子化の流れ
原本が紙でも電磁的保存が可能に
真実性・可視性を確保することが要件 −−主務省令の動向
コストメリットだけではない
第3章 ログマネジメントという考え方
−−リスクマネジメントから業務改善へ
1 ログは「不正監視」から「経営ツール」へ
−−ログの重要性が見直されている
2 企業における情報セキュリティや内部統制の実態
7割がセキュリティ実施状況を確認できていない
個人データについて適切な措置をしている企業は2割未満
中小企業に目立つ推進体制の不備
6割が「特に何もしていない」
3 e―文書法への対応ソリューションの事例
−−キヤノン電子とNTTデータの共同プロジェクト
納品書の電子化保存で業務改善へ
システム構築の手順とポイント
企業規模を問わずに早急に対応を!
第4章 機密情報は道具だけでは守れない
1 いかなるセキュリティ対策も社員に自覚がなければ無意味
社員がパソコン遊ぶ会社は情報モラルも低い
ルールが企業と社員を守る
情報漏洩は人生を棒に振る
ファイル交換は著作権違反の認識を持つ
ネット中毒社員はパソコン用務から切り離す
2 人材教育と管理能力の重要性
仕事の最適化を図るのは上司の務め
会社員という自覚を持たせる教育
3 健全な社員は、経営参画意識の向上で育まれる
「挨拶運動」から生まれた集団の力
コミュニケーションが業績アップにつながる
正社員と派遣社員を同等の待遇に
社員の創造性を伸ばすピカイチ運動
真面目な人が損をしない組織を目指す
第5章 事例に見る無駄の排除とコストパフォーマンスの向上
1 さまざまな改革運動をログマネジメントが加速
~三ツ星ベルトの場合
75%カット運動で高収益体質に
評価の高い人ほど遊んでいた
2 トラブル時の説明責任と情報教育の促進
~三木市立教育センターの場合
自由とリスクは裏腹
関連して以下の情報があります。記事を引用します。
マイクロソフト株式会社は2月24日、日本版SOX法に向け、「Microsoft Office Visio 2003(以下、Visio 2003)」を用いて業務プロセスの文書化を支援する「Visioで書く内部統制対応文書作成ガイド」の提供を開始した。同社Webサイトより無償で入手できる。
「Visioで書く内部統制対応文書作成ガイド」は、内部統制の確立において莫大な時間と労力を要するといわれている業務プロセスの文書化を Visio 2003で効率的に行う方法を支援するガイドブック。Visio 2003で業務フロー図を作成する手順を記したホワイトペーパーとサンプルのAccessデータベースが提供される。これにより、ステップバイステップで業務プロセスの文書化を行えるとしている。
同社では、今後Visio 2003向けの「内部統制テンプレート」を無償で提供していくとしている。
(広告)
「ISOの本棚」ページのトップへ!
- 2006年03月10日
- ISMS(情報セキュリティマネジメント) | コンプライアンス、法令
- コメント(0)
- トラックバック(0)