「情報管理の内部統制」

　IT時代の今、企業の資産と言えば「情報」です。企業にとって優位な情報を持つことが、会社経営において利益を生み出すことにつながります。情報は会社の貴重な資産であると言えます。では、情報管理における内部統制は、どのような点に注意すべきなのでしょうか。昨今、多発している情報漏えいは留まるところを知りません。いったい、なぜ情報漏えいは起きてしまうのか、またその原因は何なのでしょうか。

　まず、情報そのものは無形ですので、パソコンを持ち運ぶようなことをしなくても、メールで顧客情報を送信したり、情報をコピーして持ち出せば誰にも気づかれずに済んでしまうため、情報漏えいの発覚が遅れてしまいます。つまり、外部からのウィルス侵入防止やファイヤーウォールの構築などを徹底してみても、内部の不正行為があれば、情報漏えいは、いっこうに防ぎようがないのです。情報漏えいの8割以上が、社内の人間によるものだということも言われています。よって、情報管理の真髄は、人間管理=人事管理と言っても過言ではありません。たいていの企業内には、正社員のほか、委託業者やアルバイトなどが混在して働いています。社内で働くすべての人間が情報漏えいの不正を行う可能性を持ち合わせていることを肝に銘じ、個人情報の管理責任者は組織的な管理体制を構築しなければなりません。

　情報管理のための方法として大きく以下のことが言えます。
(1)情報を管理するための組織的な体制づくり
(2)役員や社員への人事管理
(3)企業秘密情報を管理する場所の管理
(4)セキュリティシステムの導入と技術管理

　これらを総合的に運用し、個人情報や企業秘密が外部に漏えいしないように徹底管理する必要があります。情報を管理するための組織的な体制づくりのためには、役職員の権限と責任を明確化し、情報管理に関する規定を定めて整備し運用することが大事です。運用が始まれば、それが効率的に実施されているか適時モニタリングしていきます。個人情報の管理責任者を配置し、組織的な管理体制を構築し、個人情報の利用や保管について規定した個人情報管理規程などを作り運用していきます。
管理体制の構築と同時に社内啓蒙活動も重要
　また、役員や社員への徹底した情報管理についての教育や研修などの啓蒙活動も、同時に行うことが大切です。個人情報や企業機密事項が、いかに会社にとって重要な財産であるかを認識させ、情報漏えいや不正行為をした場合に、会社に多大な損害を与え、企業の信用を失墜させてしまうかを啓蒙しなければいけません。不正行為は、損害を被るだけではなく、刑事罰の対象となることも教育することが大切です。

　具体的には、社員の入社・退社時には、会社が保有する個人情報や企業秘密を不正に漏えいしたり、利用しないことを誓った誓約書を交わします。機密情報が印刷されているものには、「社外秘」のスタンプを押し、管理をし、顧客リストは施錠された保管庫で厳重に管理します。データが保管されているコンピュータ室などは、指紋認証で入退出を管理したり、情報にアクセスできる人間を最小限にし制限し、IDとパスワードで厳重に管理していきます。

　情報管理の内部統制を構築するには、人間の管理である人事管理、情報をキャビネットに保管するなどの物理的管理、そして、IDやパスワードでアクセス制限をするなどの技術的管理の、トライアングル管理で徹底しなければなりません。しかしながら、不正行為を行うのは、必ず人間のしわざであることを再認識することが最も管理の上で重要なことなのは言うまでもありません。