« 中小企業会計に関する指針の公表 −固定資産1− | メイン | 会計よもやま話�〜ゲンキン経営??(1) »
2005年07月01日
情報セキュリティー
最近、金融機関の個人情報流出事件が多いですね。
私も、公認情報システム監査人(CISA)の資格を持つものとして、企業のシステム監査を行うことがありますが、やはり、日本の企業は、「性善説」に立つところが多く、セキュリティーフォールは、山のようにあります。
私たちも、指摘はしますが、企業側の対応としては、
「そこまで言われても、・・・(-_-;)」
というのが、ほとんどです。
また、情報システムというものは、セキュリティーを固めれば、固めるほど、その利便性は低下していきます。
そもそも、情報システム監査では、監査要点として、システムの信頼性、安全性、効率性といったものから、有効性、可用性まであげられることがあります。
特に、有効性、可用性の部分においては、企業の戦略目的と密接に絡んできます。
当初、戦略的目的で、例えば、銀行等で、EUC(エンド・ユーザー・コンピューティング)といった行員が、顧客情報をエクセル等で取り出し、加工の上利用するといったことも想定されていたシステムもあると思います。
ホスト系からオープン系への移行は更にそれを助長していきました。
しかし、ここで情報保護で、再び、閉鎖されたシステムへの移行が現れています。
結局、データを、「がちがち」にしようとするならば、ホスト系時代のシステムの方が明らかにセキュリティは上がるんですね。
リスクマネジメントの対応方法としては、以前もBlogしましたが、以下の4つがあります。
1.リスク回避
2.リスク除去
3.リスク転嫁
4.リスク保有
2.リスク除去
3.リスク転嫁
4.リスク保有
このうち、そもそも、「個人情報を保有するのをやめてしまおう」といのが、『リスク回避』、「システム監査を受けて、セキュリティーフォールを無くしていこう」というのが『リスク除去』です。
では、『リスク転嫁』これは、というと一言でいうなら「保険」です。
ちなみに、これらに対応した保険も既にでているのですね。
最後、『リスク保有』は、「個人情報漏洩? そんなの、うちでは影響ないね!」と言い切ってしまうこと。
そんな会社とは、取引したくないですね。(@_@;)
投稿者 kuni01 : 2005年07月01日 23:40
トラックバック
このエントリーのトラックバックURL:
http://www.akasaka-cpa.com/mt/mt-tb.cgi/154