株式会社テクノアソシエーツ FPD業界・装置・部材メーカーの東アジア進出課題〜知財戦略&情報セキュリティの複合課題と解決方法 電子産業・成長戦略フォーラム


東アジア進出時の知財戦略における,情報セキュリティの実装方法と管理対策
[2006/04/24]

 日本の電子産業企業が東アジア地域(中国,台湾,韓国)に進出する際,経営上の課題として浮上してきた知的財産と情報セキュリティの課題のうち,今回は,対策として実施すべき国際標準の情報セキュリティ・マネジメント・システム(information security management system:ISMS)の内容を説明し,実装方法や管理対策について解説する。

 情報セキュリティの事件・事故の発生が産業界で問題視され始めた1980年代,各国において,情報セキュリティ対策の考え方やベスト・プラクティスについて検討が始まり,その結果が共有されるようになった。この結果,1990年代に入り,情報を安全に利用するための管理の仕組みである情報セキュリティ・マネジメント・システムが英国や米国で提案された。それが深化し,2005年,国際標準ISO/IEC27000シリーズとして発行されるようになった。国際的にビジネスを展開する際には,この国際標準に基づく情報セキュリティ・マネジメント・システムを実装すると,全世界で均質なマネジメントが行いやすくなる。
 ISO/IEC27000シリーズのうちISO/IEC270001は,情報セキュリティの目的を情報の機密性,完全性,可用性の確保に置いた,情報セキュリティ・マネジメント・システムの実務を定義している。ここでいう機密性とは情報が漏えいしないことであり,完全性とは情報が改ざんされない,あるいは間違っていないことであり,可用性とは情報を利用したい時に利用できることである。このことから,情報セキュリティの目的は「情報を安全に,必要な時に利用できるようにすること」といえる。

情報セキュリティ・マネジメント・システムの実装手順
 情報セキュリティ・マネジメント・システムの実装手順は,以下の通りである(図1)。
 ステップ1では,どの事業や業務に保護すべき知的財産があるかを把握し,事業部門や場所あるいはネットワークなど,情報セキュリティ・マネジメント・システムの対象をどの範囲にするのが適当かを決定する。
 ステップ2では,情報セキュリティの基本方針を策定する。何のためにやるのか,どこまでを目指すのかに関し経営意思を明確にするとともに,情報セキュリティ対策に関する経営陣の支援を明確にし,それを関係者に周知して協力を仰ぐ。
 ステップ3では,基本方針に合致した適切なリスク・アセスメントの取り組み方法を明確にする。対象とする情報資産の重要性,対策立案のための期間あるいは人的制約を勘案し,合理的で再現性や比較可能性のある統一したリスク計測手法とリスク評価基準を策定する必要がある。
 ステップ4では,ステップ3で策定した手法と基準に基づいて,リスク・アセスメントを行う。個々の情報資産の価値と,その資産に対する脅威,その資産を取り巻く環境の脆弱性を検討し,その情報資産がどのリスク・レベルにあるかを明確にする。
 ステップ5では,ステップ4の結果に基づき,許容できるリスク・レベルを超えている情報資産について,リスク低減・回避・移転というリスク管理対策を選定する。
 ステップ6では,管理対策を実施するためのリスク対応方法を決定して,リスク対応計画を策定する。リスク対応計画は,経営陣による承認が必要である。承認を通じて,必要な費用や要員に関して,経営陣が支援を約束するのである。
 選択したリスク管理対策を実施しても,リスク値が許容レベルまで下がらない場合がある。この場合,その資産や資産を使用する事業が経営上必須ならば,経営陣はそのリスクを受容する判断が求められる。これがステップ7である。

図1
図1
情報セキュリティ・マネジメント・システムに基づく管理対策
 情報セキュリティ・マネジメント・システムに基づく管理対策については,ISO/IEC27002となる予定のISO/IEC 17799:2005において,11の分野が整理されている。これに準拠しつつ,東アジア進出の際に重要な要因(例えば;外部組織のアクセス管理等)に焦点を当てて12分野に再編した管理対策を説明する(図2)。
「情報セキュリティ基本方針」を策定する目的は,経営陣の姿勢と積極的な支援を社内外の関係者に明確に示すことにある。事業戦略に基づく知的財産戦略に直結した情報セキュリティ・マネジメントを推進するためには,これら戦略と整合の取れた基本方針により経営陣が情報セキュリティ対策にコミットメントし,それに基づきリソースを投入することが必須である。
「情報セキュリティのための内部組織」は,企業内の各々の立場の人々が,情報セキュリティに関して行うべき責務を明確にし,各々が自分の役割を認識して実践できるようにするために設置する。
「外部組織のアクセス管理」は,社外の人々が秘密情報へアクセスすることを管理するためのものである。社内リソースだけで業務が完結せず,派遣社員など社内に多く入室して作業する場合や,顧客が情報システムを利用する場合がある。これらの場合に,これら社外の人々が情報および情報処理施設にアクセスすることで,情報の破壊や漏えいの危険性が高まる。社員に対するよりもさらに厳密な管理が必要となる。
「資産の管理」は,情報資産のリストアップを行い,機密性などの重要度を明確にした上で,重要度に応じた情報資産の取扱がなされていることを常に把握できる状態にすることである。全社を挙げて,情報資産をリストアップし,その重要度を統一的に決定する必要がある。
「役職員のセキュリティ管理」は,4で対象とした情報資産を利用する人の管理である。雇用から退職までのすべての段階で管理が必要となる。
「セキュリティ領域の保全」は,情報資産とその利用者が入っている場所などの管理対策である。セキュリティ領域を設け,組織の施設および情報に対する認可されていないアクセスにより情報資産の損傷および妨害を防止する。
「装置のセキュリティ」の目的は,情報処理設備・装置の損失,損傷,盗難,劣化,および組織活動に対する妨害を防止し,情報資産を保全することである。
「通信および運用の管理」では,主にITの運用管理を適切に行うことが重要になる。海外では,ITの運用管理が外部委託されることが多いので,外部委託の管理も重要である。ITを外部委託により運用管理しようとする海外拠点の管理者は,少なくとも外部委託管理項目を理解し,それに従って外部委託業者を監督・指導しなければならない。
「アクセス制御」は,情報システムを利用し業務を行う場合に,セキュリティ対策の基本になる。パスワードの管理や画面のロックを全員に守らせることなど,日常的な基本動作が重要であるので,おろそかにしてはならない。
10 「情報システムの取得,開発および保守」は,情報システムを取得,開発する際のセキュリティの要件を確実に守るためのものである。業者への丸投げは避けるべきである。
11 「情報セキュリティ・インシデント管理・事業継続管理」は,万が一ITに事故(インシデント)が起きた場合に,初動対応を適切に行い,その被害を最小化するマネジメントのことである。インシデントが起きるということを前提に,その被害を最小化する報告体制や対応手順を整備する必要がある。また情報セキュリティ事故の影響で事業の存続が脅されることも考えらなければならない。このような場合には,事業継続管理も確実に行うことが重要である。
12 「コンプライアンス」では,海外で事業を行う場合に現地の法令規制,顧客との契約,社会通念,あるいは業務上の様々な要求事項に対する違反を避けるための対策を整備する。ここでは,情報資産に関して遵守すべき法令規制や契約上の要求事項などを明確にしてリストアップし,様々な活動の際に確認し,準拠することが必要である。

図2
図2

より実効性のある知的財産情報セキュリティのために
 情報セキュリティは,教育に始まり,教育に終わると言われている。まず,情報セキュリティ対策の重要性を役職員に理解させ,ルール通りに行動できるように意識付けをしなければならない。ルールを変更する際には,変更部分を社員に十分浸透させることも必要である。また,管理職の意識を高め,社員の日々の行動を観察することを通じて,マネジメント・システムの改善提案や社員が正しく行動するよう指導できるようにする。
 日常指導で効果的なのが「ひやり・はっと」研修である。危うく大事故になりかねない事象を取り上げて経験を共有するのが,この研修の趣旨である。情報セキュリティ・マネジメントは,QC活動など他の業務改善運動と同様な手法で,現場意識を高揚することが重要である。
 知的財産情報セキュリティ・マネジメント・システムは,知識が付加価値を生む21世紀の高付加価値企業が採るべきマネジメント・システムである。海外進出を契機として,優れたマネジメント・システムを導入し,せっかく創造した知的財産という情報資産の価値が損なわれないよう心掛けるべきである。
(永宮直史=インフォセック)



Whats new!
レポートの本体価格がお手頃になりました
“レポート目次&サンプル”を更新しました

レポート・ハイライト
東アジア進出時の知財戦略における,情報セキュリティの実装方法と管理対策
東アジア進出における知財情報の漏洩シーン
ブラックボックス化戦略と特許戦略の使い分け,契約戦略
インク・ジェット装置メーカーにおける知財ガバナンス
液晶関連メーカーの経営課題と知財・情報セキュリティ
韓国・台湾LCDパネル戦略と日本の装置・部材戦略
LCD関連企業,東アジアで知財と情報セキュリティに課題

関連イベント・セミナー
レポート解説セミナー
3月9日 於:海運ビル(東京)

テクノアソシエーツ発行レポート LCDパネル・メーカーの事業戦略研究2006
日本・韓国・台湾の主要LCDパネルメーカー事業戦略を徹底分析
【詳細】

関連ニュース
CRTを上回り始めたLCD,放送の枠を超えた圧倒的な高画質を目指せ
LCDテレビ生産のグローバル化への対応,パネルは1カ所集中,モジュール工程以降は分散
世界LCDテレビ市場が急拡大,パネル事業の再構築へ もはやLCDの開拓者は日本企業だけではない
主要LCDパネル・メーカー5社の財務戦略 違いと課題がベンチマーク指標に反映
コーポレート・ガバナンス・モデルからLCDメーカー5社の事業戦略の実効性を検証
記事Indexへ

電子産業・成長戦略フォーラム
エグゼクティブ・セミナー

液晶パネルの製造装置・部材メーカーにとっての「東アジア進出と事業&知財戦略」
慶應義塾大学ビジネススクール&日経グループと共同開催
詳細

株式会社テクノアソシエーツ
株式会社テクノアソシエーツ


| 産業イノベーションHOME | 電子産業・成長戦略フォーラム | 
| FPD業界・装置・部材メーカーの東アジア進出課題 | 
Copyright (c) 2005-2013 TechnoAssociates, Inc. All rights reserved.