お役立ち情報 上場で最低限必要なセキュリティ水準と実効性のある仕組み整備とは
情報セキュリティと株式上場
「情報セキュリティ」は情報漏えいやシステム停止など、ネガティブな被害を抑えるための取り組みであり、利益が見えづらいことから、企業が積極的に取り組みづらいという現状もあります。
ただ、株式上場のように証券取引所で広く株式が流通するような営みにおいては、情報セキュリティのような「損害を最小限に抑える取り組み」「信頼を失わないための取り組み」が非常に重要であり、注目されるポイントの一つになります。
また、上場企業に適用されるJ-SOX(内部統制報告制度)で確認される内部統制の要素の一つに「ITの利用及び統制」という要素があります。ITの適切な運用・管理を行うことは、情報セキュリティ対策を講じることにも直結しています。
実際の内部統制監査においても、「ログ管理」や「アクセス権管理」など、特に内部統制に関わる要素についての不備事項の検出などが行われているようです。
つまり、情報セキュリティのための取り組みは、上場を行うために避けては通れない道であり、上場後にも継続して求め続けられる重要な要素であると言えます。
情報セキュリティ事故による上場延期事例
情報セキュリティに適切に取り組んでいない場合における上場への影響がイメージしづらいかもしれませんが、実際に上場承認までされていたベンチャー企業が情報漏えいが原因で、直前に上場を中止したという事例がありました。
同社は、2016年12月19日付で東証マザーズへの上場申請を東京証券取引所から既に承認されていましたが、11月17日に顧客の個人情報約9,000件が流出したことを発表しました。
同社は情報セキュリティインシデントが発生してしまったことを受けて、上場承認後の流出であったことを踏まえ、2016年12月8日の取締役会において新株式発行・株式売り出しの中止、上場手続きの延期を決議しました。
あわせて同社から上場取りやめの申出を受けた東京証券取引所も、上場承認の取り消しを行っています。
この事例から、情報セキュリティインシデントが発生した場合、上場の延期や中止につながる可能性があり、それまで準備したことが「情報セキュリティ」の要素により崩れてしまいかねないということが分かります。
上場で求められる情報セキュリティの要素
上場で求められる情報セキュリティの要素について、IT統制の考え方から整理していきます。
一口にIT統制といっても、主に以下の2つの要素に分類されます。それぞれ詳しく見ていきましょう。
| IT全般統制 | 業務に利用するシステム全体を、定められたルールに従って、適切かつリスクを最小にした状態で維持管理するための活動 |
|---|---|
| IT業務処理統制 | 業務上のデータの正確性を高めるためにデータの管理・記録をするための活動 |
IT全般統制
IT全般統制においては、さらに以下の4つの要素が存在しています。
システム開発・保守に係る管理
社内システムの構築・修正に関する取り組みです。
例えば、開発・変更時の承認や、運用前のテスト実施、移行計画の管理、システムの運用ルールの策定などが想定されます。
これが適切に行われていないと、本来の目的とは異なったり誤った処理を行うシステムが出来てしまったり、管理者が知らない間に不適切な変更などが行われる可能性があります。
システムの運用管理
社内システムを安定稼働させるための運用・管理に関する取り組みです。
例えば、バックアップの管理や変更ログの保存、障害時等の対応ルールの整備などが想定されます。
これが適切に行われていないと、バックアップが無いことで障害時に元に戻せなかったり、誤操作等があってもログが無くて何を・どこを間違えたかを把握することができない可能性があります。
内外からのアクセス管理などシステムの安全性の確保
システムで処理される情報の安全性を確保するための取り組みです。
例えば、アカウント発行~削除までの管理ルールの策定や、アクセス権管理、権限設定、マルウェア対策などが想定され、「情報セキュリティ」の取り組みとイコールとも言えます。
これが適切に行われていないと、外部からの不正アクセスによる情報漏えいや改ざんなどに遭いやすくなる可能性があります。
外部委託に関する契約の管理
システムの開発や運用を外部委託する場合に、組織の方針通りに活動してもらうための取り組みです。
例えば、委託時の評価や契約時の合意、定期的な監査などが想定されます。
これが適切に行われていないと、想定したものと異なる成果物が生成されたり、委託先のセキュリティレベルが低く委託先が攻撃者に狙われたり、監査に関する取り決めがなく定期報告を受けられない可能性があります。
IT業務処理統制
IT業務処理統制には、大きく以下4つの要素が存在しています。
入力情報の完全性・正確性・正当性等を確保する統制
入力情報の過不足や誤り、最新かなどのチェックを目的とした仕組みのことです。
例えば、ITでチェックする場合に、空欄があるとデータ処理されないような仕組みを利用するなどが想定されます。
これが適切に行われていないと、入力情報が誤ったままでも業務処理が進んでしまい、成果物が誤ったものになったり、業務上の手戻りが大きくなる可能性があります。
例外処理(エラー)の修正と再処理
業務上ミスや変更があった場合に、適切に修正・処理できる仕組みのことです。
例えば、一度情報を入力しても、誤っていることに気づいたタイミングで修正できるようなシステムにしておくことなどが想定されます。
これが適切に行われていないと、誤った処理のまま業務が進んでしまって後段階で大きなトラブルに発展する可能性などがあります。
マスタデータの維持管理
マスタデータを問題なく保存し続けるための取り組みです。
例えば、バックアップの取得や、操作ログを保存することなどが想定されます。
これが適切に行われていないと、故意・過失問わず情報が消えたときに復旧できなくなったり、本来の意図と異なる操作が行われたときに誰がどのように操作したか確認できなくなってしまいます。
システムの利用に関する認証・操作範囲の限定などアクセスの管理
システムへのアクセス権を制限・管理する取り組みです。
例えば、重要なシステムへのアクセス権を制限したり、必要最小限の操作だけを行うようにしたりすることや、本人であることの認証などが想定されます。
これが適切に行われていないと、予期せぬ誤操作や意図的な不正操作などが行われる可能性があります。
上場準備に効果的な情報セキュリティ認証
ここまで、上場における情報セキュリティの重要性や必要性について整理してきましたが、実はこれらの要素はISMS/ISO27001やプライバシーマークなどの情報セキュリティ関連認証で、ある程度カバーすることができる内容でもあります。
例えば、プライバシーマークでは、個人情報の正確性の確保や、漏えい等を防ぐための安全管理措置の実施、委託先の監督など、IT統制で求められる要素と同じようなポイントが求められています。
また、ISMS/ISO27001では、システムの開発・運用やアクセス管理、委託先管理に関する要求が存在しており、情報セキュリティの要素として情報の完全性(正確性)も求められるため、実質的にIT統制で求められることはISMSでも求められると言えます。
このように、ISMSやプライバシーマークに取り組むことで組織の情報セキュリティレベルを上げながら、結果として上場のために必要な要素に対応していくこともできるという相乗効果が期待できます。
まとめ
上場における情報セキュリティ要素の重要性・必要性、そして、上場とISMSやプライバシーマークなどの情報セキュリティ系認証の結びつきについてイメージいただけましたでしょうか。
長期的に上場を目指している場合には、組織体制整備の第一歩としてまずはISMSやプライバシーマークなどの取り組みを行うことで情報セキュリティ体制を整備することがおすすめです。
LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、情報セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ体制整備にお悩みの方は、お気軽にご相談ください。