お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

第4回:企業・組織はいかに情報セキュリティを考えるべきか

2004/08/30 14:00
  • このエントリーをはてなブックマークに追加

企業が抱えるリスクは情報セキュリティだけではない。地震や火災などの災害はもちろん、従業員の不正行為などもリスクとして捉えられる。このような多種多様なリスクが存在する中、情報セキュリティをどのように考え、どのように対策を立てればいいのか。損保ジャパン・リスクマネジメント のISOマネジメント事業部課長であり、日本ネットワークセキュリティ協会で2003年度までワーキンググループリーダーを務めた山本匡氏に、「企業・組織が情報セキュリティに対して持つべき視点」を語ってもらった。

-----------

山本 匡 氏
損保ジャパン・リスクマネジメント  ISOマネジメント事業部 課長
1991年 横浜国立大学 電子情報工学科修士卒。
同年 安田火災海上保険入社、1996年リスクエンジニアリング部門に着任し、現在損保ジャパン・リスクマネジメント ISOマネジメント事業部に在籍。
情報システムに関わるリスクマネジメント、火災・爆発防止に関する安全コンサルタント業務に従事し、セミナー出講、リスクマネジメント関連出稿、レポート作成等を中心に活動を行っている。
2003年日本ネットワークセキュリティ協会・インシデント被害調査WGリーダー。


企業が抱えるリスク全体の中で情報セキュリティを考える

--現在、個人情報保護法の施行をきっかけとして「情報セキュリティ」に対する関心が企業の中で高まっています。ただ、その関心はどうしてもIT寄りの視点になってしまって、企業全体として情報セキュリティをどう捉えるかという観点が抜けているようにも思います。

山本氏: いま企業として考えなければならないことは山ほどあり、それは情報セキュリティだけではありません。当社では企業内に潜むリスクの発見・評価のために「総合リスクチェック」というサービスを提供しているのですが(参考資料:リスクマップ)、企業経営者はこうした様々なリスクを認識し、対策を考える必要があります。例えば地震や火災など、いろいろなリスクがありますよね。情報セキュリティ、特に情報システムは、これらのリスクと密接に結び付くのです。例えば「地震とシステム」「火災とシステム」「社員の不正行為とシステム」という形で結び付くことが多いのです。しかもシステムは基幹業務を担うものですから、業務に与える被害も大きい。そこに企業もやっと気づき始め、情報セキュリティの優先順位が上がってきたという状況ではないでしょうか。

そのきっかけとして大きかったのは、やはり個人情報保護法だと思います。経済産業省からもガイドラインが発表されていますし、企業に対する意識づけとして十分なパフォーマンスはあったのではないでしょうか。個人情報の保護対策だけに主眼が置かれている現状は少し心配ですが、少なくとも「これくらいはやってみましょう」という形で、自社内の情報セキュリティを実行してみる入り口としては大きな役割を担っていると思います。

--企業はもともとたくさんのリスクを抱えており、その中で「情報セキュリティ」というキーワードが顕在化、クローズアップされてきのですね。

山本氏: 社会の流れとしては、ネットワーク化が進んでいますから、今後、システムがより必要になることはあっても、不要になることはあり得ません。そういう意味では、リスクも増大傾向にあります。例えば10年前にも、バグなどでシステムが止まるリスクはあったのですが、今日のビジネスに与える影響を考えると、その被害の大きさは当時とは比較になりません。

 昔は企業資産といえば「人・モノ・金」でした。しかし今日では、こうした資産はすべて「情報」という第4の資産の上に乗っている状態です。つまり、情報が人・モノ・金を動かしているわけです。だからこそ、情報セキュリティが脅かされると、実業や社会に与える影響も莫大なものになるのです。


セキュリティ対策への取り組み企業も「個人情報」の定義を模索

--現在セキュリティ対策に取り組んでいる企業では、どのようなことをされているのですか。

山本氏: 企業の情報セキュリティに対する取り組みには2つの流れがあると思います。1つは個人情報保護法への体制作りです。ところが、体制作りとはいっても、そもそも会社の中に「情報」に関する規定があまりないのです。強いていえば顧客情報について何か定めているかもしれませんが、“個人情報”という観点でいうと、営業情報も社員情報も含まれます。顧客情報だけでは足りないんですね。結局、「ウチの会社はどんな個人情報を持っているのだろう」という入り口でつまずいている企業が多いのも事実です。

 もう1点は、「プライバシーマークのようなマネジメントの仕組みを導入したい」という企業です。これも同様に、自社内でプライバシーマーク取得の必要性を判断する場合と、または入札条件などを満たすために取り組む企業と、2つのタイプに分けることができます。ただし世の中の方向性としては、取引先からの要請など“逃げられない”雰囲気が蔓延していますよね。そこでコスト問題がクローズアップされてくるわけです。

  • このエントリーをはてなブックマークに追加
個人情報保護方針
利用規約
訂正
広告について
運営会社