第588号コラム:伊藤 一泰 理事(栗林運輸株式会社 監査役)
題:「『団体会員企業審査委員会』発足にあたって」
企業などが、種々のインシデント発生時に、自社で初動対応をしっかりできるかどうか、現状では困難であると言わざるを得ない。例えば標的型攻撃を受けた企業を想定してみよう。その企業の社内では、以下のような動きをするはずである。
①専門事業者を探し出し②初動対応の相談をする③インシデント対応業務の発注手続を取って④必要なサービスを受けるという流れが一般的だと思うが、慌てふためく状況にあって、なかなかスムーズに行かないものと思われる。
そもそも、専門知識をもたないサービス利用者が、インシデント発生時にフォレンジック事業者を選定しようとしても、どの事業者のどのサービスを選ぶべきなのか、判断することは容易ではない。インシデント対応を迫られた利用者が、いざ、フォレンジック技術を持っている専門事業者を選定し相談しようとしても、正確で信頼性の高い情報に簡単にアクセスすることは困難である。情報にアクセス可能なルートが十分整っていないからである。
このため、「公平かつ中立的な情報」を予め公開しておくことに意義があり、この情報提供の役割をIDFが担うことになった。今般、IDFでは、経済産業省(JASA)からの「情報セキュリティサービス基準審査登録制度」(注1)へのリンクリスト作成要望に応えるべく、IDF団体会員企業に掲載希望の有無を伺って、掲載希望があった18社について「DF調査・分析対応団体企業」の紹介リストを作成することとなった。IDFでは、各企業が記載した内容及びデータについて、IDF内に設置する「団体会員企業審査委員会」において吟味する(審査する)こととした。
この審査委員会発足に当たり基本的な考え方を述べたいと思う。
そもそも、審査とは、どんなものなのか?
銀行が企業に対し融資する場合、当該企業(事業者)の確定申告書・決算書・試算表等の提出を求める。その上で、プロジェクトの事業計画や資金使途、返済能力等を総合的に評価した結果、融資の可否を決定するという手順を踏んでいる。
金融機関において審査の重要性が叫ばれて久しい。この原則を踏み外した事例として「スルガ銀行」の事件が挙げられる。スルガ銀行では、営業部門(支店等)が審査部門に提出する書類を審査基準に見合うように改竄、偽装して融資を承認させるなどの不正が行われていた。このため金融庁は2018年4月から、スルガ銀行への立ち入り検査を実施している。そして同年10月、スルガ銀行に対し、6カ月間の投資用不動産への新規の融資業務の停止命令と業務改善命令を出した。不正融資やその疑いのある融資は、1兆円規模に上ると言われている。銀行の審査は、銀行自身のリスク管理である。杜撰な審査は銀行の屋台骨を揺るがす事態となる。
銀行に限らず、企業や団体において、リスク管理は常日頃から心掛けておくべきテーマである。その企業自身のみならず、子会社、関係会社、協力会社はもちろん、その所属構成員までチェックする仕組みを考えないといけない。(注2)
わかりやすい例は、お笑いタレント徳井某の所得隠し・申告漏れ問題である。タレントの不祥事は所属事務所のリスクであり、更には出演させているテレビ局のリスクになる。このため、所属事務所の吉本興業が芸能活動自粛の発表をしたり、テレビ各局が番組の差し替えを検討したりしているのである。
IDF自身もリスクに無縁の存在ではない。一番心配すべきは風評被害のリスクであろう。
大袈裟な言い方をすれば、団体会員の不祥事はIDFの不祥事になり得るのである。
このため、不祥事防止策を講じ、適正なレベルにリスクをコントロールする必要がある。審査委員会による審査が実施されることで、一定の牽制効果が働きデータの意図的改竄や不正確な内容の記載が未然に防止できれば幸いである。今回の審査委員会は、企業不祥事が多発している状況に鑑み、IDF自身のセキュリティマネジメントの確立を図らんとする取り組みである。
(注1)経済産業省によれば、「情報セキュリティサービスについて一定の品質の維持向上が図られていることを第三者が客観的に判断し、その結果を台帳等でとりまとめて公開することで、利用者が調達時に参照できるような仕組み」を提供する制度であると紹介している。なお、「情報セキュリティサービス基準審査登録制度」の概要については、下記の経済産業省のURLを参照されたい。
経済産業省 URL
(注2)グループ企業のガバナンスをどうするかという問題については、以下の資料が経済産業省から公表されている。
「グループ・ガバナンス・システムに関する実務指針(グループガイドライン)」
【著作権は、伊藤氏に属します】
