倫理的セキュリティ 一覧

犯罪者にらないために~刑法

刑法とは、簡単にいえば「罪」と「罰」を定めた法律です。刑法では、「罪刑法定主義が厳格にとられています。

刑法

刑法とは、「どんなことをすれl羽巳罪になり、どの程度の罰を受けるか」を法律であらかじめ定めたものです。「犯罪」と「罰則」があらかじめリストアップされていると考えると、わかりやすいかもしれません。

では、コンピュータ犯罪はどうでしょうか。従来の刑法典は現代のコンピュータ社会を想定して制定されたものではなく、コンピュータ犯罪でどんな処罰を受けるか規定がありませんでした。昭和62年に刑法が一部改正され、この改正部分を「コンピュータ犯罪防止法」と呼ぶことがあります。

電磁的記録とは

以前の刑法は、人間の目に見える紙媒体の「文書」を保護するための規定(文書偽造罪、文書毀棄罪など)は存在していましたが、フロッピーディスクやCD-Rに記録されたデジタルデータのように、目に見えない電磁的記録は刑法上の「文書」ではなく保護されていませんでした。しかし、「電磁的記録」といっても、人によって受けとめ方があります。法律では誤解のないように、あらかじめ用語を定義しておくのが一般的です。

そこで電磁的記録は、「電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるもの」と定義されています。

電磁的不正作出・同供用罪(161条の2)

「文書偽造罪」という犯罪は、経理の不正、脱税など文字どおり文書を偽造する犯罪です。また、「文書偽造罪」は公文書偽造罪と私文書偽造罪とに大別でき、公文書を偽造したほうが重く罰せられます。
一方、「電磁的記録不正作出・同供用罪」は、他人の業務を誤らせる目的で、人の権利義務または事実証明に関する電磁的記録を不正に作ったり、使用させた犯罪で、5年以下の懲役または5 0 万円以下の罰金が課されます。また、その不正な電磁的記録が、公務所(役所など)または公務員によって作られた場合は、10年以下の懲役または40万円以下の罰金に処せられます。該当する行為としては、次のようなものがあります。

  • 嘘の入金データを端末から入力して、預金元帳ファイルに記辞する行為
  • 偽造キャッシュカードを銀行のATMに差し込む行為
  • キャッシュカードに他人の預金口座の預金番号、暗証番号などを印磁する行為
  • 磁気ファイル化されている住民票などに嘘のデータを入力する行為

電磁的記録毀損糞罪

電磁的記録を毀棄(物理的損傷を与えたり、プログラムを改ざん・消去する等)した者は、それが公文書の場合は3ヶ月~年の懲役、権利義務に関する私文書の場合は5 年以下の懲役に処せられます。

電磁的不正証書原本不実記載・同行使罪(157、158条)

役所に嘘の申し出をすることにより(登記簿、戸籍簿などの公正証書の原本)に嘘の記載をしたり、使用した者は、5年以下の懲役または20万円以下の罰金が課されます。

コンピュータ使用詐欺罪(246条の2)

有名な「詐欺罪」は、人をだまして経済的に価値のある物を不法に手に入れ、利益を得る行為ですが、コンピュータを騙しても(犯罪にはなりません。

「コンピュータ使用詐欺罪」では、コンピュータに嘘の情報または不正な指令(コマンド、プログラムなど)を与えて、財産権の得失・変更に関する不実の電磁的記録を作ったり、嘘の電磁的記録を業務に使用させて財産上不法の利得を得たりした者は、10年以下の懲役に処せられます。
ただし「財産権の得喪・変更」に関する電磁的記録に限られるので、その他のデータについてはこの規定では保護されません。該当する行為としては、次のようなものがあります。

  • オンライン化された銀行の預金元帳ファイルに、架空入金の記録を作成する行為
  • 不正に入手したキャッシュカードを利用して、不正に預金を振り替えて債務を消滅させる行為
  • 偽造テレホンカードを使って電話をかける行為(テレフォンカードを有価証券と考えると偽変造有価証券行使罪も成立する)

コンピュータ関連業務妨害罪(234条の2)

「威力業務妨害罪」という犯罪があります。これは、威力を用いて他人の業務を妨害するもので、オペレータなどの「人」を脅して業務を妨害した場合がこれに該当します。人に恐怖を覚えさせるなどの行為(威力)が要件になっているので、回線を切断してシステムを停止するような行為は、威力業務妨害罪に含まれません。そこで「コンピュータ関連業務妨害罪」に関する規定が新設されました。

「コンピュータ関連業務妨害罪」では、コンピュータもしくは電磁的記録を損壊したり、嘘の情報を入力したり、不正な指令を与えたりなどして、使用日的に反する動作をさせて業務を妨害した者は、5 年以下の懲役または1100万円以下の罰金が課されます。該当する行為としては、次のようなものがあります。

  • コンピュータや記辞媒体を破壊する行為
  • 製造工程を管理するコンピュータに嘘のデータを入力して、不良な製品を製造させる行為

セキュリティーポリシーの運用

セキュリティポリシーの作成後、業務に則したポリシーの適切な運用を実施しなければなりません。セキュリティポリシーは、ある時点で完結してしまうー時的なプロジェクトではなく、経理やマーケテイングのような組織として継続して行う活動であり、その運用lこは定期的かつ定量的な監査が必須になります。

定期的かつ量的なセキュリティ監査が必要

セキュリティの監査では、まずポリシーおよびそのほかのガイドライン、規則、規定についての遵守性評価を行います。環境の変化にポリシー自体が適応しているのかに重点を置き、ポリシーがシステムの目的・目標の達成に寄与しているかをチェックします。対コスト効果についても評価する必要があります。

各種セキュリティチェックサービスの導入も検討

常に進化しつづけるセキュリティの脅威に対応するには、セキュリティ専門のエンジニアが社内ネットワークを運用し、村処する必要があります。しかし、そのために新たに人材を配置するのは難しいことです。そこで最近、多くのセキュリティベンダーから提供されている「セキュリティチェックサービス」を利用するという選択肢も検討すべきです。
このサービスは外部から提供されるため、客観的かつ定量的にセキュリティ強度を評価することができ、希望すれば専門家による各種対処作業を受けられるといったメリットもあります。代表的なセキュリティチェックサービスは、以下の通りです。

  1. セキュリティ検査サービス
    るサービスです。ISS(市販ツール)や独自のツールを使い、外部からあるいは内部の企業ネットワークの脆弱性について検査します0 実際の検査では、過去からの膨大なセキュリティホールのデータベースをもとに、ひとつずつチェックします。
  2. キュリティ監視サービス
    社内ネットワークがインターネットなどを介して外部から不正なアクセスを受けていないかを24時間チェックし、管理者への報告やリアルタイムでセッションの切断を行うサービスです。ファイアウォールやサーバーなどのアクセスログを定期的に収集し、アクセス状況の統計や不正アクセスの状況を報告するものもあります。
  3. セキュリティ診断サービス
    社内ネットワークにおけるシステムの運用管理やウイルス村策、アクセス制御、内部不正村策など、各種セキュリティホールとなり得る脆弱性について、セキュリティサービスベンダーが独自に作成したチェックシートを基に聞き取り調査あるいはアンケート調査により、診断を受けるサービスです。このサービスでは、セキュリティポリシーの遵守状況やセキュリティ製品の運用状況などにっいても、客観的に調査・診断できます。

セキュリティ教育と啓蒙活動

せっかく立派なセキュリティポリシーを作り上げても、全従業員に浸透していなければ意味がありません。そのためにも、従業員に対するセキュリティ教育と啓蒙活動が必要です。残念なことに、多くの企業では、業績や財務上の目標は毎日、毎月または四半期ごとにその成果を問われるのに対し、ポリシーや各種規定・規則に従う姿勢が問われる機会は、それよりはるかに少ないのが実情です。

そのため、定期的に行われる「研修プログラム」を導入するのが一番効果的です。この研修プログラムでは、「ウイルス感染の防止と対策」「電子メールの正しい使い方」「インターネット利用規定」「パスワードの正しい設定とネットワークの利用方法」「個人情報の保護」「企業機密の取り扱い」「公開情報と非公開情報」など、セキュリティに関する基本的な知識の習得のほかにも、企業の従業員が日常遭遇しやすい具体的な事例を提示し、自分ならどのような行動をするのかをディスカッションします。

この研修の目的は、一方的に正解を提示して盲目的な同意を得ることではなく、参加者の思考を刺激し、セキュリティの何たるかに目を向けるきっかけにすることです。そして、その延長線上にセキュリティポリシーがあることを意識させるのです。すべては教育から始まります0 社員数育がない情報セキュリティはありえません


セキュリティポリシの策定

セキュリティポリシーを策定、運用するには、多くの問題や障害が生じます。しかし、セキュリティポリシーは、企業の情報資産にアクセスできる状況にある人が、必ず守らなければならないもので、社則と同じ義務的な命令でなければなりません。セキュリティポリシーを策定するポイントと流れになります。

[1]まずは社内体制から

セキュリティポリシーは、企業の情報資産にアクセスできる状況にある人を対象としたもので、すべてのユーザー、運用スタッフ、管理者との間で意見交換して策定する必要があります。また、情報の管理者は誰か、誰が責任をとるのかを明確にする必要があります。

セキュリティが破られた時などの緊急事態に備えるためには、連絡体制をしっかりと確立し、組織全体が協調して動く必要があります。残念ながら、セキュリティ対策は、とかく円滑な業務の遂行とは両立しにくいものです。しかもその投資効果を目で見ることは困難で、社内体制がなかなか取り難いのが実情です。たとえば、最も使い勝手がよいシステムは、どんなユーザーにもアクセスを許容し、パスワードの入力は要求しないものです。
しかし、パスワードの入力を要求することで、システムは幾分使い勝手が悪くなりますが、安全性は向上します。したがって、ポリシーの策定には、相反する要素を比較検討し、事前に部門間の利害を調整する組織全体の方針をまとめることが必要です。

重要なことは、企業活動の指針となるセキュリティポリシーに対する、全社的な責任ある取り組みの姿勢を確立することです。そのためには経営者の支援が必須です。従業員の間に共通の目的と考え方を浸透させることは、企業文化を創造する道といえます。起こり得る危機から企業の情報資産を守るためには、こういった企業文化の確立が必要です。

[2]日本特有の組織文化に無理のないような設定

ポリシーの必要性を感じている、社内体制も整った、しかしどのように作成したらいいのかわからない…といったそんな声が聞こえてきます。理想論を書き込んだだけの「べき論」で固められたポリシーでは、絵に描いた餅になってしまいます。
いきなりポリシーの作成(明文化)作業に入ってしまったことから起こる過ちです。ポリシーは、第三者のものをそのまま転用できるものではなく、その組織体自身が独自に立案したものでなくてはなりません。また、欧米で発展したポリシーを日本企業で現実のものにするためには、日本の組織文化に無理のないものにしなければなりません。
自社の現状を客観的に分析し、自社固有の問題点を把握してはじめて、実効性のあるポリシーを作成することができるのです。

[3]強制力を持たせる

ポリシーは、「~すべき」「~したほうがいい」といった従業員に対する一般的、具体的な指示ではなく、「~しなければならない」という強制的で義務的な命令でなければなりません。セキュリティを破るのはコンピュータではなく「人間」であることを思い出してください。

強制的かつ義務的な命令は、それだけで強力な動機づけとなります。したがって、雇用されている限り、ポリシーに従わないものは解雇される旨を明確にする必要があります。セキュリティを業務の一部として実施し、ペナルティと報酬を関連づけましょう。
また、すべての関係者に誓約書を提出させることは、ポリシーを運用する上で重要なポイントとなります(誓約書にサインをすることは、それを読み、理解し、ポリシーに同意するという意思表示です)。

なお、「~すべき」「~したほうがいい」といった一般的・具体的な指示については、ポリシーに基づくガイドラインや運用手順書を別途策定し、その中で指示することになります。これらには、コンピュータ機器やソフトウェアなどに依存する具体的な対策についても記述します。普遍的なポリシーと具体的なガイドラインや運用手順書とを明確に区別することが肝要です。

[4]柔軟性を持たせる

セキュリティポリシーは、ある時点で完結してしまうような一時的なプロジェクトではなく、経理やマーケテイングと同様に、組織として継続して行う活動のひとつです。ポリシーには柔軟性が絶対に必要です。ポリシーが長期間にわたって柔軟性を持ち続けるためには、骨格をなすコンセプトに基づいて定期的に改訂される必要があります。

ポリシーを改訂する方法は明確に文書化しておく必要があります。ただし、策定する際にはできるだけ長期間適用可能なポリシーを作るべきで、たとえばポリシーと具体的なハードウェアやソフトウェア環境とは切り離されるべきです。特定のシステムに限定してしまうと、それがリプレースされたり変更されたりした時に、大変なことになります。かといって、現場の環境を無視したポリシーは意味がありません。この辺のバランス感覚が重要です。

[5]セキュリティポリシーの公布は社長名で

ポリシーは直接部門の生産性に影響を与えるものですから、ポリシーが完成したら、最終的に経営会議での承認を得て、経営トップが自らの名前で社内に告知しなければなりません。ポリシーは、原則として社外秘の機密文書に分類されますが、最近はECやEDIの本格化に備えて、取引の信頼の基礎として企業行動規範と同様にポリシーを外部に開示する動きもあります。これからは、社内外へ通知する総合的な取り決めが必要となるでしょう。

セキュリティポリシーの策定・運用プロセス

セキュリティポリシーは、一般ある順番、手順で策定・運用されます。ポリシーによる情報資産の保護は、むしろ情報の開示と共有を正しく行うための措置であることに注意しましょう。ポリシーとほかの規定・規則との関係も重要です。ポリシーの性格上社内の論議を招くのは必然です。ポリシーとほかの規定との不一致から厳しい批判を浴びないように留意してください。


企業倫理・セキュリティポリシー

ビジネスの世界には、あらゆる危機が潜んでいます。バブル崩壊以降、一流企業の不祥事が相次いでいます。特に倫理面の不祥事に対するリスクは、企業の社会的信用を致命的に失墜させます。企業の不祥事は、企業と個人の双方に、極めて高いリスクを招きます。

罪の意識が欠如したホワイトカラー犯罪

1970年代、米国で急激に増加した先物取引による詐欺事件によって「ホワイトカラー犯罪」と呼ばれるものが顕在化しました。一般に、犯罪には「悪いことを犯してしまった… 」という罪の意識がありますが、このホワイトカラー犯罪は、会社の利益のための営業行為として、犯罪が通常の経済活動の一環として行われているため、罪の意識が欠如しているといった特長があります。

最近のホワイトカラー犯罪は、従来の業務上横領(つまり使い込み)のようなものではなく、大企業の構造と信用を悪用した巨額な詐欺罪へシフトしています。金額にしたがって量刑も重くなり、併合罪が加わると、とんでもない重罪になってしまいます。バブル時代の銀行の不祥事はきついノルマによる「収益至上主義」、証券会社の不祥事は経営陣や従業員が会社に忠誠を誓う「会社至上主義」といった、日本独特のシステムに端を発しています。サラリーマンが、いつ犯罪者になってもおかしくない時代なのです。

イチ個人の責任か

こういった不祥事は、単なるイチ個人の常軌を逸した行為なのでしょうか。事件を起こした人の良心の問題だといいきることができるでしょうか。不祥事を起こした企業の経営者は、「内部管理が徹底していなかったので…」という反省のコメントが多いようです。

このような経営者は、すでに犯罪の片棒を担いでいるのです。監督不行き届と片づけるのでは、なんの解決にもなりません。むしろそうした行為は、企業文化の甘さを反映している場合が多く、こういった不祥事ほど、その企業の性格を如実に表しているのではないでしょうか。

これを是正するためには、企業倫理について経営方針にしっかりと明文化し、経営トップが自ら実践していることを従業員に示すとともに、教育・啓蒙活動によってすべての従業員に浸透させていくことカ泌要です。

セキュリティポリシーと企業倫理

過去の経緯から、「労務管理」の一環として、倫理規定、企業行動規範、法律遵守(コンプライアンス)といったものが注目されはじめています。これらの規定は、前述したセキュリティポリシーの上位規定またはセキュリティポリシーの一部として構成されて機能します。

一部の日本企業では、欧米企業を参考にして倫理規定の策定・実践に積極的に取り組みはじめており、ウェブ上で公開している企業もあります(前頁表を参照)。しかし残念ながら、多くの企業は自社の倫理規定もなく、策定した企業でも実践の方法が十分に確立されているとはいい難いのが実情です。

日本企業と企業倫理

企業倫理は、日本企業にはなかなか根づかないといわれます。たしかに、日本企業では個人倫理を発揮できる余地はあまりないようですし、経営トップさえ周囲の目を気にするといった状態です。しかし日本企業が、フリー(自由)、フェア(公正)、トランスペアレント(透明)をキーワードとするグローバルスタンダードに合わせるには、ルールを守ることから改善していかなければならないのは明らかです。そのためには、倫理規定の制定・運用などによる「倫理の制度化」が絶対必要なのです。

では、効果的な倫理制度とはどういうものなのでしょうか。それは、何よりもまず管理体制を強化し、違反した者には罰則を課す(報奨制度を組み合わせた「アメとムチ」も効果的)ことによって違法行為を防止することにあります。

倫理規定は、「~すべき」「~したほうがいい」といった一般的・具体的な指示ではなく、「~しなければならない」という、企業の構成員が必ず従わなければならない強制的で義務的な命令である必要があります。ただ単に倫理規定を公布するだけではなく、社員教育のカリキュラムに企業倫理を導入し、世界的規模で企業倫理革命が進行していることを、すべての社員に徹底させなければなりません。

監査役の強化、倫理担当役員の制定、独立した内部告発のためのホットラインの導入(「見て見ぬふり」といった日本的価値観はグ・ローバルスタンダードではありません)なども検討する必要があるでしょう。ビジネスの世界には、ありとあらゆる危機が替んでいます。

その態様もさまざまですから、各個人がその場面ごとに自分で的確に判断し行動する必要があります。「どうやら自分はまずい取引に巻き込まれてしまったようだ。もし明日の新聞に掲載されたら、会社にどんな損害をまたは、損失を与えてしまうのかな。自分はどんな責任を負わされるのだろう?またどういった責任をとればいいのか?」この感覚が必要です。この感覚は、社内倫理規定やセキュリティポリシーの整備と社員数育によって培われます。


セキュリティーポリシーの重要性

メインフレーム環境でのセキュリティ対策は、守備範囲を限定することが可能したが、、情報技術の高度化・複雑化・大規模化により、状況はがらりと変わってしまいました。情報システムに対するビジネスの依存度が増加し、今や「情報資産への脅威」は「ビジネスヘの脅威」へと変化しています。

利便性とセキュリティ対策のバランス

ビジネスでは、安全対策を講じなければならない情報資産が膨大に存在します。また情報資産のどこから手をつければよいのか、優先順位を明確にしなければなりません。データベースによる情報資産の一括管理は、業務の効率(利便性)を著しく向上させましたが、情報漏洩によるリスクも拡大しています。

利便性とセキュリティ対策は、相反する関係にあることから、これらのバランスを取る必要があります。会社の情報資産を管理する上で最大のネックになるのが、情報資産が持つリスクに対する従業員の無知・無関心です。
無知・無関心は、内部不正の増大を招きます。従業員間の意思統一、教育・訓練プログラム、チェック体制の確立が必要です。情報資産に対する管理責任者も明確にしなければなりません。一般的な社内規定や規則(ガイドライン)だけでは、こういった環境変化には対処しきれないため、ルールに欠落が生じます。ルールの欠落を防ぐためには、包括的なセキュリティポリシーの採用が必要です。

ビジネス活動こおける判断・行動基準として

セキュリティポリシーは、日々のビジネス活動で重要な意味を持ちます。たとえば、万一、秘密情報が漏洩した場合、不正競争防止法という法律にょって保護を受けます。しかし、不正競争防止法は、どんなに技術上・営業上有用な情報であっても、客観的に秘密として「管理」されていなければ保護してもらえません。

このためには、セキュリティポリシーに秘密情報をどのように管理すべきかを言匿っておくことが大切です。このように法律の世界では、企業がその情報資産を「管理」していたか否かを問われる場面が多々あります。当然のことながら、大切なものとして管理していなければ、大切なものとして扱われません。

セキュリティポリシーは、あらゆる情報セキュリティ活動の中心となる「基盤」です。ビジネスの成功を目指す企業は、正しい方向性と管理を確立するためにセキュリティポリシーを備えなければなりません。企業がしっかりとしたセキュリティポリシーを持ち、それに基づいて従業員を管理することで、従業員がセキュリティの必要性について明確かつ具体的に「意識」できます。「セキュリティ意識」これが重要です。

従業員がセキュリティの必要性について意識できれば、業務を遂行する際の判断や行動において、セキュリティを考慮した的確な意思決定が行えます。逆に、セキュリティポリシーが明確にされていないと、その意思決定は場当たり的・対症療法的になり、一貫性を欠いたものになってしまいます。

セキュリティポリシーのポジティブな面

セキュリティポリシーは、オプション的な問題でも、ある時点で完結してしまう一時的なプロジェクトでもありません。経理やマーケテイングと同様に、組織として継続して行う日々進化する活動のひとつです。当然、企業はそのための予算とスタッフ・組織部署を割り当てる必要があります。

しかしセキュリティへの投資の考え方は、「利益にはならないけど、トラブルが起きると困るから… 」という視点で考えるため、残念ながら日本におけるセキュリティポリシーの立案状況は芳しくありません。この視点は間違いで、プラス面があることを認識すべきです。「あそこの情報セキュリティはとび抜けて優れているから」というように、優れたセキュリティを持つことで、取引先の信頼が向上し、企業の競争力も向上することを忘れてはなりません。

EDI接続とセキュリティポリシー

EC(電子商取引)やEDI(電子データ交換)が急速に拡大し、これに関連した新しい脅威が出現しています。ECやEDIのような外部とのネットワーク接続には、お互いのセキュリティレベルの合致が絶対に必要です。そのための指標になるのが、セキュリティポリシーです。

「御社とは、今後EDIを利用した取引に変更したい。こんなにすばらしいセキュリティポリシーをお持ちなら安心です」、将来、トップ同士の会談で、こんな会話がされるかもしれません。セキュリティポリシーに限らず、このようなセキュリティへの投資(プライバシーマークの取得なども)のポジティブな側面に焦点をあて、セキュリティに関連して何が実現できるのかまで視野を広げることが必要です。
視野を広げることで、いろいろな可能性が見えてきます。マネジメント層への説得も容易になるでしょう。セキュリティによって新しいことが可能になること、セキュリティは業務をスピードダウンさせるものではないということを十分に認識すべきです。


情報セキュリティポリシーの重要性

情報資産は、企業の存亡を決する重要な意味を持ちます。ビジネスの情報戦暗におけるMIS(経営情報システム)からSIS(戦略情報システム)への変遷は、経営の要である企業資産として、人、物、金に「情報」が新たに加えられたことを明確に物語っています。この企業情報の資産を的確に保護、管理することが、セキュリティ対策のポイントです。

情報セキュリティの3要素

情報セキュリティとは、システムの機密性、保全性、可用性を確保・維持していくこと、つまり企業の情報資産を脅威から保護し、正常な機能や状態に保つことです(この3つを情報セキュリティの3 要素と呼びます)。この情報セキュリティは、建物や設備などの物理的な対応である物理的セキュリティと、システム的・管理的・人的な村応である論理的セキュリティの2つに大別されます。

セキュリティポリシーとは

セキュリティポリシーとは、企業(組織)が情報資産に対してどのように取り組み、従業員がどのように行動すべきかという「方針」を明文化した「規範」をいいます。外資系企業では、インフォメーション・プロテクション・ポリシー(情報保護指針)と呼んでいます。

セキュリティポリシーは、マネージメント層の意思を示し、遵守すべき事項とその優先順位、村象部署を明確にした最低限の情報保護レベルを明確にし、既存ルールの不備を補完します。また、セキュリティを確保するために適切なコントロール手段を提供し、セキュリティ製品を選択する際の指標になります。つまり、個人の裁量で勝手に情報セキュリティについて判断されないように定めた「就業規則」あるいは「社則」のようなものです。

ここでのセキュリティとは、単なる「テクニカル」な問題に限りません。人的情報資源を含む、すべての情報資産に対する保全行為や安全運用を意味します。「ファイアウォールなどのセキュリティ製品を導入すれば安心」という考え方には、大きな間違いがあります。

製品技術だけでは、セキュリティは成立しません。セキュリティ製品を正しく使用するための知識や論理的な制御、システム全体を見渡した包括的な検討が必要です。別のいい方をすれば、セキュリティにはいくつかの階層があり、ハードウェアやソフトウェアというテクニカルな階層、その上に技術の運用・管理に関する階層があり、さらに行動規範のような人的階層があるのです。したがってセキュリティポリシーには、企業の目的や後述する倫理規範や個人の責任までが含まれます。