「情報セキュリティはコストでなく、戦略的な効果を狙った投資であるべき」---アクセンチュア先端技術グループセキュリティ担当マネージャーの武田圭史氏は6月11日、同社の情報セキュリティサービスを紹介した。
武田氏は情報セキュリティに関する投資対効果の評価(ROSI:Return On Security Investment)という考え方を紹介。セキュリティ専門企業ではいかにシステムを安全にするかという点に軸が置かれるが、アクセンチュアでは「企業の価値を高めるのに最適なセキュリティを提案する」と武田氏は説明する。「過剰な投資については削ることもあるし、メリットに対してコストがかかり過ぎているものについては見直すべきという提案もする」(武田氏)
さらに武田氏は、セキュリティ投資によって新たな価値を生み出すことも可能だと語る。企業のセキュリティ投資として一般的なのは、法律や規制に対応するためのものだ。これらは社会的信用の維持や顧客満足といった効果が得られる。しかしこれは守りの投資でしかない。
武田氏が提案するのは攻めの投資だ。例えばオンライン認証・決済など新サービス実現のための投資は、結果的に新サービスによる収益を生み出すこととなり、その投資も回収される。またシングルサインオンによってシステムの認証プロセスを統合すれば、それまで重複していた投資を効率化し、結果的に総コストを削減することができる。また、セキュリティを強化することで損害保険料が割り引かれ、コスト削減になることもある。「セキュリティ投資はコストではなく、新しいビジネスチャンスや差別化、収益を生み出すものになる」(武田氏)
個人情報を抱えることがリスクに
アクセンチュア先端技術グループセキュリティ担当マネージャーの武田圭史氏 | |
---|---|
また、武田氏は今月6日に法案が可決された、企業の個人情報保護責任についても説明した。1999年に京都府宇治市の住民票データ22万人分が漏洩したことなどを例に挙げ、「個人情報が漏洩するのは、個人情報保護の重要性がきちんと認識されていないため」と指摘。武田氏によると、情報通信関連の企業や人材派遣業以外では、個人情報に対する明確な保護規定が存在していないケースがほとんどだという。
顧客の情報はマーケティング上欠かせない武器だが、管理が徹底してないような状況下で個人情報を抱えることは逆にリスクになると武田氏は指摘する。「不必要な個人情報を抱えることは、不必要な漏洩リスクを持つことだ。その管理のために不必要なコストが発生することになる」(武田氏)
では企業は何をするべきなのか。武田氏はまず、自社がどんな個人情報を持っているかを確認するところから始めるべきだと主張する。「どういう目的でその情報が必要なのか。それによってどういった効果とリスクがあり、どの程度管理コストがかかるのかを考えるべきだ。そしてその目的に応じて情報を管理する仕組みを作り、社員に徹底させる必要がある」(武田氏)。
その際に気をつけなくてはならないのは、何が「情報の漏洩」に当たるかという点だ。例えばメーリングリストの参加者に対してメールを送る際、BCCで送るべきところを間違えてCCで送ってしまい、参加者のメールアドレスが通知されてしまったとする。これは個人情報の漏洩にあたるだろうか。「自分の会社で大丈夫と思っているものが、世の中では通用しない場合もある。第3者に見てもらうことも必要だろう」として、企業の個人情報保護責任の対応を促した。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス