某所での発表のため「情報セキュリティ報告書」について調べており、今後も継続的にチェックすることがありそうなので備忘録としてまとめておきます。(特にいつ頃最新版が出るか忘れそうなため)
情報セキュリティ報告書とは何か
経産省で2004年より行われていた「企業における情報セキュリティガバナンスのあり方に関する研究会」で、検討された評価ツールのことです。自社で取り組んでいる情報セキュリティの内容を情報開示することで社会から適正に評価されることを目的としたもので、経産省が公開している「情報セキュリティ報告書モデル」に基づき、各企業で公開されています。
公開している企業は9社だけ
現在、この情報セキュリティ報告書を公開している企業は国内で9社のみです。内1社(リコーグループ)は既にCSR報告書に統合をしており、実質最新版を公開しているのは8社という状況です。
各社の公開状況は丸山先生が既にまとめられており、この情報をベースに最新状況ををまとめました。
情報セキュリティ報告書(2)−まるちゃんの情報セキュリティ気まぐれ日記
2010年度情報セキュリティ報告書まとめ
| 企業名 | 公開時期 | 開始時期 | ページ数 | 開示先(PDF) |
| NTTデータ | 2010/03 | 2008年〜 | 28ページ | ■ |
| NEC | 2010/07 | 2010年〜 | 28ページ | ■ |
| 富士通 | 2010/05 | 2009年〜 | 32ページ | ■ |
| 富士ゼロックス | 2010/09 | 2005年〜 | 15ページ | ■ |
| 日立製作所 | 2010/06 | 2010年〜 | 32ページ | ■ |
| リコーグループ | 2010/06 | 2006年〜 | 2ページ | ■ |
| キャノンマーケティング | 2010/06 | 2008年〜 | 23ページ | ■ |
| ジャパンシステム | 2009/12 | 2010年〜 | 4ページ | ■ |
| サジェコ | 2010/05 | 2010年〜 | 10ページ | ■ |
※ 開始時期は過去のバックナンバーから推測。
※ リコーグループは2010年度以降はCSR報告書に統合。
※ 一部レポートの公開時期はPDFの作成時期より推測。
ぼやき
情報セキュリティ報告書を出していないからといって、企業がそれら取り組みの情報を開示していないと決めつけるのは早計で、むしろ多くの企業はCSR報告書に記載しています。CSRの関連との整理があまりなく、縦割り行政的弊害を受けてしまっているような気もするこの情報セキュリティ報告書ですが、参考になる情報も公開されている企業もあるので個人的には今後も頑張って報告書の開示をお願いしたいところです。
ちなみに、この報告書の他、外部から企業の情報セキュリティの評価を行うツールとして、第三者認証(ISMS、Pマーク)の取得の他、IPAの「情報セキュリティ対策ベンチマーク」やアイ・エス・レーティングの「情報セキュリティ格付」があります。
