IT障害が国民生活を脅かしてはならない--日本政府の取り組み - (page 3)

--2005年5月30日には「情報セキュリティ政策会議」が設置されましたね。今後はどのような提言がなされるのでしょうか。

　残っている課題は、一般企業や組織の統治構造の中に、情報セキュリティの要素をいかに植え付けるかです。

　日本企業はここ10年来不況下にあって、生産性の改善が求められてきました。このため、リストラすると同時にIT投資を進めて生産性を向上させ、業務を効率化してきた。しかしこれによって、徹底したIT依存のビジネスモデルになっています。

　セキュリティの問題は、効率を追求した組織に対して、プラスアルファで「投資をやれ」という話です。まだ景気が戻ったとは言えない状況下では、普通なら企業は受け入れない。個人情報保護法はその典型で、法律がなければ企業の個人情報対策は進まなかったでしょう。

　このため、情報セキュリティへの取り組み度合いが企業の株価に影響するような仕組みを作るべきだという話が持ち上がっています。また、情報セキュリティ対策への取り組みを「個人情報保護憲章」のような形で各企業が作るように促すという考え方もあります。

　いずれにせよ、情報セキュリティへの取り組みが企業価値をどう高められるのか、組織の事業継続性にどうつながるのかという点を考える必要があります。米国ではEnronやWorldComなどの不正会計事件をきっかけに、2002年にSOX法（サーベンス・オクスリー法）が制定されました。ここではリスクマネジメントの一部として、セキュリティ対策が求められています。日本でもSOX法のようなものを導入すべきなのかという点も議論の対象となるでしょう。

　これらは非常に茫洋なテーマですが、問題範囲を設定するだけでも十分意味のあることではないでしょうか。

　また、本当にユーザーがセキュリティの度合いを評価し、自分自身でコントロールできるようにするにはどうすべきかという点も考える必要があります。今までユーザーは企業や組織の情報管理者が設定したセキュリティレベルのものを使ってきた。しかし今後は、安全は守りつつもそれぞれのやりたいことが実現できる仕組みが求められてきます。

　例えば、電話の着信拒否機能というものがありますよね。実は携帯電話と固定電話の最大の違いは、いたずら電話の拒否をユーザーが自分で簡単にできるようになったことなんです。

　固定電話では、電話番号と一緒に任意の番号を入力した人の電話だけをつなぐサービスがありました。これは、ネットワーク側で電話の受信拒否を行うものです。しかし、携帯電話では端末側で「この人は着信拒否」と選ぶことができます。事業者がネットワークで制御するのではなく、ユーザーがクライアント側で自由にコントロールできる。現在では固定電話でもナンバーディスプレイを使った同様の仕組みが出てきています。

　ネットワークが賢くなるのではなく、クライアント側が知的になるという仕組みはインターネットと同じです。エンドユーザーがコントロールできるセキュリティメカニズムというのは、今後大きな可能性があると思います。

--これらの提言が行われるのはいつごろになるでしょうか。

　情報セキュリティ政策会議の下に、この問題を検討する組織ができると思います。内容は年内にまとめる予定です。ただし提言という形ではなく、基本計画や中期計画といった形で出されるかもしれません。