日本と本社、二重のルールに挟まれて
グローバル本社からISO 27001認証の取得を求められた。しかし日本拠点には、個人情報保護法やマイナンバー法の対応も同時に求められる。J-SOXの監査が近づいている。海外のセキュリティチームは日本固有の規制を知らないし、日本側もグローバルのポリシーをそのまま適用できるか判断がつかない。
イソリアは、この「二重のルール」を一つの計画に統合する支援を26年以上行ってきました。日本側の規制要件を本社の言葉で説明し、グローバルポリシーの日本拠点への適用を実務レベルで設計します。
情報セキュリティの設計と運用
現状の把握から始める
セキュリティプログラムの構築は、まず現在の状態を正確に把握するところから始まります。何がどこに保存されているか。誰がアクセスできるか。どのシステムが外部に公開されているか。この棚卸しなしに対策を打つのは、地図なしで目的地を目指すようなものです。
イソリアはリスクアセスメントと脅威モデリングを実施し、優先度の高いリスクを洗い出した上で、複数年のセキュリティロードマップを作成します。このロードマップは日本語と英語の両方で文書化するため、本社のCISOにもそのまま提出できます。
多層防御の考え方
セキュリティは単一の技術で守るものではなく、層を重ねることで成り立ちます。ネットワークのセグメンテーション、エンドポイント保護とEDR、IDとアクセス管理、データ漏洩防止、クラウドセキュリティ。それぞれの層がカバーする範囲は異なり、一つが突破されても別の層が防御に回ります。
運用面では、24時間365日のSIEM監視、インシデント検知と対応、脅威ハンティング、脆弱性管理を実施します。これらを日本拠点だけでローカルに回すのか、グローバルのSOCに統合するのか、あるいはその中間にするのか。本社との協議が必要なポイントであり、イソリアが間に入って最適な体制を設計します。
サイバー脅威への対応
脅威は進化し続けます。SIEM、IDS/IPS、EDR、SOCサービスといった検知・防御の仕組みはもちろん重要ですが、「インシデントが起きたらどうするか」という手順が整備されているかどうかが本当の分かれ目です。
インシデント対応プロセス
日本ではインシデント発生時、個人情報保護委員会への報告義務がある場合もあります。海外本社のインシデント対応手順にこの日本固有のステップが含まれていないことが多く、事前に手順を統合しておく必要があります。イソリアは日英両方のインシデント対応手順を整備し、有事の際に「どちらに先に報告するか」で混乱が起きない体制を作ります。
脆弱性管理としては、定期的なスキャンと評価、ペネトレーションテスト、構成監査、パッチ管理を行います。メールとWebのセキュリティも重要な防御線です。高度なメールフィルタリングとアンチフィッシング、セキュアメールゲートウェイ、Webコンテンツフィルタリング、DNSベースの防御を導入し、従業員向けのセキュリティ意識向上トレーニングも実施します。
コンプライアンス:日本の規制と国際基準の両立
日本固有の規制を本社に説明する
在日外資系企業のIT担当者が最も苦労するのは、日本の規制要件を海外本社に正しく伝えることです。「マイナンバーとは何か」「なぜSSNと同じ扱いにできないのか」「J-SOXは米国SOXとどう違うのか」こうした質問への回答を、技術的な正確さを保ちながら本社のマネジメントが理解できる形で提示する必要があります。
個人情報保護法(PIPA) は、2022年の改正で越境データ移転のルールが厳格化されました。グローバル本社にデータを転送する場合、移転先の国の個人情報保護体制を確認し、本人への通知が必要です。GDPRとの相互認証の動向も踏まえつつ、データのインベントリと分類、プライバシーポリシーの策定、データ主体の権利管理を整備します。
マイナンバー法 は、海外にほぼ類似の制度がないため、本社への説明が特に難しいポイントです。米国のSSNと比較されがちですが、IT上の取り扱い要件はマイナンバーの方がはるかに厳しい。アクセスログの取得が必須であり、保管・保持期間の規定も細かく定められ、年次のコンプライアンスレビューが求められます。マイナンバーを取り扱う委託先の管理も含め、イソリアが手順書の整備から年次レビューまで対応します。
J-SOX(日本版SOX法) は、IT全般統制(ITGC)への重点が米国SOXよりも大きい点が特徴です。「重要な欠陥」の解釈も異なり、日本の監査法人は独自の基準で判断します。変更管理手順、アクセス制御のドキュメンテーション、アプリケーション統制のテストをイソリアが支援し、監査対応もバイリンガルでサポートします。
日本と国際規制の比較
| 規制 | 日本 | グローバル相当 | 主な違い |
|---|---|---|---|
| プライバシー | PIPA (個人情報保護法) |
GDPR(EU) CCPA(カリフォルニア) |
異なる同意要件、より厳格な国境を越えたデータ転送規則、独自の「個人番号」カテゴリ |
| 国民ID | マイナンバー法 | SSN(米国) NI(英国) |
極めて厳格なIT取り扱い要件、必須のアクセスログ、年次コンプライアンスレビューが必要 |
| 金融 | J-SOX | SOX(米国) SOX 404 |
IT全般統制への重点、「重要な欠陥」の解釈の違い、ローカルな監査期待 |
| 業界 | 厚労省、経産省、金融庁 セクター固有規則 |
FDA(米国) EMA(EU) |
医薬品、金融、製造セクターには日本独自のIT監査要件がある |
国際標準:ISO認証取得のリアル
本社からISO 27001の取得を指示された場合、多くの日本拠点では「何から始めればいいか分からない」というのが正直なところでしょう。イソリアはギャップ分析から始め、ISMS(情報セキュリティマネジメントシステム)の設計、リスクアセスメントと対策の策定、必要なポリシーと手順書の整備、内部監査の実施、そして認証審査に向けた準備まで一貫して支援します。
ISO 27017(クラウドセキュリティ)やISO 27018(クラウドプライバシー)も、クラウド利用が進む企業では併せて取得を検討する価値があります。クラウド環境固有のセキュリティ管理策、責任共有モデルの実装、クラウドプロバイダーの評価基準を整備することで、本社が求めるクラウドガバナンスの水準を満たせます。
業界ごとの規制対応
金融業界では、金融庁(FSA)の要件、PCI DSS、マネーロンダリング防止(AML)管理策への対応が必要です。医療・製薬業界では、医療機器規制、臨床試験データの保護、製薬製造に関するIT管理策が求められます。製造業では、産業制御システムのセキュリティ、知的財産保護、サプライチェーンセキュリティ、輸出管理コンプライアンスが重要な課題となります。
これらのセクター固有の規制は、グローバル本社が想定する業界標準(FDA、EMAなど)と重なる部分もあれば、日本独自の要件もあり、両方を満たすためのロードマップが必要です。
ガバナンス・リスク・コンプライアンス(GRC)
ガバナンスを「形だけ」で終わらせない
セキュリティガバナンス委員会を設置し、ポリシーを策定し、手順書を整備する。ここまでは多くの企業が実施しています。問題は、それが形骸化していないかどうかです。年に一度のレビューで「問題なし」と報告されるだけのガバナンスでは、実際のインシデント時に機能しません。
イソリアは、役割と責任の明確化、意思決定プロセスの設計、エスカレーション手順の整備を行います。同時に、情報セキュリティポリシー、利用規定、データ分類基準、インシデント対応手順、事業継続計画を日英両方で文書化し、本社のセキュリティチームとの整合性を確保します。
セキュリティ意識を定着させる
フィッシングメールの訓練を年に一度やって終わりにしていませんか。セキュリティ意識の定着には継続的な取り組みが欠かせません。フィッシングシミュレーションの定期実施、役割に応じたトレーニング内容の差別化、コンプライアンストレーニングの受講状況追跡を通じて、「知っている」から「行動が変わる」レベルまで引き上げます。
リスク管理:「全部やる」は戦略ではない
セキュリティ対策のリストを並べて「全部やりましょう」というのは戦略とは呼べません。限られた予算と人員で最大の効果を出すには、リスクに優先順位をつける必要があります。
資産の棚卸しと評価、脅威と脆弱性の洗い出し、影響度と発生可能性の分析を行い、リスクをスコアリングして対策の優先順位を決めます。「本社が求めるレベル」と「日本の規制が求めるレベル」の両方を満たす対策計画を、コストとのバランスを見ながら策定します。
サードパーティのリスク管理も見落とせないポイントです。日本のベンダーとのセキュリティ要件の合意、契約書へのセキュリティ条項の組み込み、委託先の継続的な監視を行います。特にマイナンバーを扱う業務を外部に委託する場合、委託先の管理責任は重く、定期的な監査が必要になります。
事業継続計画(BCP)とディザスタリカバリ(DR)については、事業影響度分析に基づいた復旧戦略の策定、バックアップと復元のテスト、危機管理計画の整備、定期的な机上演習を実施します。日本では地震・台風などの自然災害リスクが高く、BCPは「あれば安心」ではなく「なければ困る」レベルの必須事項です。
コンプライアンスの継続的な維持
認証を取得しても、それを維持し続けることは別の課題です。規制要件の変更を追跡し、コンプライアンスカレンダーに沿って期限を管理し、証拠を収集・整理し、ギャップが見つかれば是正する。この地道な作業を回し続ける仕組みが必要です。
イソリアは内部監査プログラムの設計と実施、指摘事項の追跡と改善、外部監査への対応調整を行います。経営層へのレポーティングも、日本側の報告フォーマットとグローバルの報告フォーマットの両方で作成します。
物理セキュリティ
物理的なオフィスや施設の保護は、ITセキュリティと切り離して考えることはできません。カードアクセスシステム、多要素認証、人事システムとの連携、訪問者管理、アクセスログの記録と報告。これらの物理セキュリティ対策をITインフラと統合的に運用します。
ビデオ監視システム(CCTV)の設計・設置、録画データの保持管理、プライバシー関連法規への対応も支援します。
日本のオフィスでは、SECOMやALSOKといった警備会社のサービスが広く使われています。これらのシステムとITセキュリティの統合、警備員との連携、消防署との連携、ビル管理システムとの統合、緊急対応手順の策定を行います。本社のグローバルセキュリティチームはSECOMやALSOKの存在を知らないことが多いため、日本の物理セキュリティ体制を説明する資料作成も支援します。
なぜイソリアなのか
日本の規制環境(個人情報保護法、マイナンバー、J-SOX)に26年以上携わってきた経験があり、日本のセキュリティベンダーの状況も熟知しています。推奨事項はベンダー中立で、キックバックは受け取りません。ISO 27001認証の取得支援、J-SOX監査対応、セキュリティインシデントからの復旧支援の実績があり、すべてバイリンガルで対応するため、東京チームとグローバル本社の双方に情報が行き届きます。
お問い合わせ
コンプライアンス要件やセキュリティ上の課題についてお聞かせください。御社の状況に合った現実的なプログラムをご提案します。お問い合わせはこちら。