セキュリティ対策は企業の社会的責任--CNET Japanフォーラムから

　6月23日、シーネットネットワークスジャパンは「CNET Japanフォーラム 企業情報セキュリティを考える」と題したセミナーを東京・青山のダイヤモンドホールで開催した。セミナーにはCIOやセキュリティ担当者、経営者など200余名が参加し、社外への情報漏えいリスクを防御する方法について、具体的な対策や事例に熱心に聞き入っていた。

　開催に先立ち、CNET Japan編集長の山岸広太郎氏が「ビジネスの場にインターネットが普及するに伴い、ウイルスやワーム、情報漏えいといったリスクも増大している。一度何らかの事件を起こすと、慰謝料の支払いや企業ブランドの低下では済まず、社会的信用が失墜する危険性すらある」と指摘、企業情報セキュリティの大切さを会場に訴えた。

　続く基調講演「コンプライアンス時代の情報セキュリティマネジメント」では、損保ジャパン・リスクマネジメント リスクエンジニアリング事業部の山本匡氏が「セキュリティ対策は、企業の社会的責任（CSR）を全うするための“戦略投資”と位置付けられる」と述べ、改めてセキュリティ対策の必要性を強調した。

　企業のCSRとは、「経済的責任（社会からの義務付け）」「法的責任（社会からの義務付け）」「倫理的責任（社会からの期待）」「社会貢献的責任（社会からの要望）」の4つの責任レベルを達成し、企業と社会が健全に成長し合うことを目的としている。「このことから、CSRへの取り組みは営利活動の一環として“戦略投資”であるととらえられる。また企業の理念やトップの意思は、法的・経済的に社会から義務付けられている規定に遵守しなくてはならない。つまり関連法令への遵守はもちろん、社会から望まれている倫理規定などに反さないよう、セキュリティマネジメントをトップ主導で行う必要がある」（山本氏）

株式会社損保ジャパン・リスクマネジメント リスクエンジニアリング事業部 山本 匡氏

　具体的にどうすべきか。それには企業の中に潜むリスクについて具体的な損害を数値化し、経営層に判断を仰ぐとともに、1社・1拠点で独りよがりにならないよう、第三者の評価を入れつつグローバルスタンダードを構築する必要がある。

　また、こうした企業のセキュリティ対策の具体案については、経済産業省でもガイドラインを策定している。本セミナーで特別講演「事故前提社会における企業のセキュリティ対策」に立った経済産業省 商務情報政策局 情報セキュリティ政策室の山崎琢矢氏は、「いまは事故前提社会という認識を持ったうえでの対応策が問われる時代」と訴え、経済産業省でまとめた「情報セキュリティ総合戦略」を紹介した。この戦略では、高信頼性社会を構築することを基本目標として掲げ、そのために「事故前提における対応策強化、技術や制度基盤の公的対応強化、内閣機能強化による統一的なセキュリティ推進」という3つの戦略と42の具体施策を提示している。

経済産業省情報セキュリティ政策室 課長補佐 山崎　琢矢氏

　問題は、こうした規定や政策の取り組みは理解できても、「では企業として何をどれくらいやるべきか」という指標が定まっていないことにある。山崎氏によると、「市販のソフトウェア製品やウェブアプリケーションの脆弱性関連情報を安全に流通させる仕組みを作るほか、今年7月にも『企業経営におけるIT事故対応に関する研究会』を開催し、情報セキュリティ対策のベンチマーク作りをしていく」とのことだ。

　山崎氏は最後に、「いま、政府レベルでは『ナショナルセキュリティ』ということで、官のセキュリティ対策を再度巻きなおして考え始めています。また、民の市場でいうと、これまでのようにセキュリティベンダーやコンサルタントの押し付けから、各企業単位でしっかりセキュリティ対策を考える『ユーザーサイドセキュリティ』に変わりつつあります。これは2005年4月から施行される個人情報保護法も1つの契機といえますが、経済産業省ではこのほかにも、企業内にセキュリティ体制を確立するに当たってユーザーサイドの目線に立った政策ツールを各種提供していく予定です」と説明した。