皆さんの会社や組織は、入手または預かっている個人情報などの重要な情報を適切に管理し、事故が起きないように確実に取り扱う責任があります。そして、その取り扱いについて情報を預けた人や組織に対して説明する義務があります。

お客様から、「御社のセキュリティは大丈夫ですか」と聞かれたら、なんと答えますか？

「多分大丈夫です」、「事故が起きていないので安心してください」などと答えられたら、お客様は安心して情報を預けることができないかもしれません。どのように情報を守っているのかを皆さん自身も理解しておかないとお客様にも説明ができません。そのためには、次のような観点で確認をしてみることで情報の適切な取扱いを行っているかどうかを確認することができます

●守るべき情報資産はどこにどれくらいあるのかを把握していますか？
組織内に情報資産がどれくらい、どこにどのような形で存在し、それがどのように利用され、保管され、廃棄されるのかを把握していないと守りようがありません。

●情報資産の守り方、使い方を組織として決めていますか？
情報資産をどのように取り扱うのかを組織として決めていないと、個人の判断で取り扱うことになり、事故が起こる要因になります。

●組織として定めたルールを実行していますか？
せっかくルールを決めたのに、職員が理解できていない場合や知らない場合はルールを守ることはできません。職員への教育や研修で理解をしていただくことが重要です。

●定めたルールを実行していますか？
ルールを守っているかを確認するためには、行った結果が記録として残るようにすることが大切です。記録がないと説明することができません。

情報セキュリティ監査は、これらの状態を把握し、問題点を見つけて改善する活動です。この問題点つまりぜい弱性を放置すると、外部・内部からの攻撃（脅威）に対応できないおそれがあるとともに、事故発生時の被害も大きくなってしまいます。情報セキュリティ監査は問題点を指摘することだけではなく、改善に向けて取り組んでいくプラスの活動であると言えます。

　情報セキュリティ監査を行った組織からは次のような声が届いています。

＜監査を行った組織からの声＞