![](/content/dam/pwc/jp/ja/knowledge/thoughtleadership/2024/assets/image/only-prop-a471445476.jpg/jcr:content/renditions/cq5dam.thumbnail.319.319.png)
ISMAPから考えるデジタルサプライチェーン管理
クラウドサービスやIoT、AIなどのデジタル技術の発展とともに、新たなセキュリティリスクが生じています。本レポートでは、デジタルサプライチェーンのリスクに焦点を当て、ISMAP(政府情報システムのためのセキュリティ評価制度)を活用した効率的な管理方法を考察します。
現代の企業活動は、ビジネスを支えるインフラとしての情報システムの活用なくして成り立たないといっても過言ではありません。
大量のデータを正確かつ迅速に処理することによる競争力の向上や、企業内の業務プロセス自動化による合理化など、企業が情報システム活用のメリットを享受する一方で、情報セキュリティ上の脅威の多様化・悪質化、特に攻撃対象を特定した外部からのサイバー攻撃や内部からの情報漏えいの大規模化、またその社会的影響の増大など、システム管理に対するリスクも増大しています。
また、2005年施行の個人情報保護法や2006年改正の「金融商品取引法」における「財務計算に関する書類その他の情報の適正性を確保するための体制の評価」(J-SOX)に代表されるように、コンプライアンスの要求や監督官庁からの要請など、情報資産の管理・運用を行う企業への社会的要請も年々高まっています。
ビジネス上の環境変化への対応に加えて、企業の社会的責任として適切な情報セキュリティ管理態勢を構築することが、企業にとって喫緊の課題といえます。
情報セキュリティ・情報管理の観点から、リスクが適切に管理されているかについて、態勢構築および高度化に対して直接もしくは内部監査による評価を通じて支援します。
情報セキュリティ管理態勢におけるPDCAサイクルを評価し、有効ではない、あるいは整備されていない場合は、改善ポイントについて助言し、態勢の整備、構築の支援を行います。また、既存の管理態勢が適切に運用されていない場合は、導入、定着化に向けた施策を検討します。
独立した第三者としての外部監査人による視点で内部監査を支援します。
監査手法、基準、スコープなどを協議の上で決定し、これに従って監査を行い、報告書を提出します。
経済産業省の「情報セキュリティ管理基準」などへの準拠性を監査します。
アクセスコントロールなどの個別テーマに特化し、リスクアプローチによって重点監査項目を識別し、これに焦点を当てた監査を実施します。
情報セキュリティポリシーおよび管理手続に基づく情報セキュリティ管理態勢(PDCAサイクル)を評価し、改善点などに関する報告書を提出します。
データベースやネットワークなどの個別の技術や製品に精通したコンサルタントが、情報システムの安全性を検証し、報告書を提出します。
さまざまな業界、業種における豊富なプロジェクト経験を有するコンサルタントが認証取得を支援します。
クラウドサービスやIoT、AIなどのデジタル技術の発展とともに、新たなセキュリティリスクが生じています。本レポートでは、デジタルサプライチェーンのリスクに焦点を当て、ISMAP(政府情報システムのためのセキュリティ評価制度)を活用した効率的な管理方法を考察します。
SECは2023年12月発効の新たなサイバーセキュリティ開示規則により、「重要」と判断されたサイバーインシデントに関する特定の情報の開示を義務付けます。企業が検討すべき、かかる情報の収集から文書化、開示に至るプロセスや手順などについて解説します。
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの開示規則を採択し、2023年12月中旬からの適用を公表しました。このサイバーセキュリティ開示規則は、米国企業のみならず、米国外の企業にも適用されるため、SECに上場している日本企業にも対応が迫られます。
PwC Japanグループは、2024年春にも運用が始まる経済安全保障推進法の事前審査制度に備え、日本企業の対応を包括支援するサービスを始めます。
本稿では、企業がDXを進めるための行動指針として経済産業省が定めた「デジタルガバナンス・コード」を前提に、企業価値向上に資するサイバーセキュリティ対応のあり方や、その態勢構築のアプローチについて考察します。
経済産業省の「企業価値向上に向けたデジタル・ガバナンス検討会」での政策背景を踏まえながら、「デジタルガバナンス・コード3.0」への準拠にあたり、日本企業における経営者とDX推進担当者が押さえるべき論点を考察します。
多くの企業はDXに取り組む中で、その達成度を図る指標を設けていますが、指針や基準が少ないため、試行錯誤している状況です。DX成果指標にガバナンスを効かせるにあたっての課題や、DX戦略の蓋然性と実効性を高めるためのポイントについて解説します。
内部監査部門では、慢性的な監査要員不足に加え、デジタルガバナンスに関する専門的な知識やスキルの不足が課題となっています。これらの課題への打ち手として、内部監査部門に監査推進事務局(AMO:Audit Management Office)を組成することによる、リスクベース監査にも対応できる効率的な監査態勢について考察します。