第1回：企業の情報セキュリティ意識は変わったか

新聞やテレビなどで盛んに情報セキュリティ事件が報道されるようになった。さらに、来年4月から施行される個人情報保護法をはじめ、さまざまな制度やガイドラインが策定され、改めて企業の情報セキュリティが問われる時期に来ている。こうした環境変化により、日本人の情報セキュリティ意識はどのように変わったのだろうか。日本ネットワークセキュリティ協会(以下「JNSA」)理事ならびに日本セキュリティ監査協会(以下「JASA」)理事の井上陽一氏と経済産業省情報セキュリティ政策室の田辺雄史氏が議論する。

井上　陽一 氏 日本ネットワークセキュリティ協会 理事 日本セキュリティ監査協会　理事 兵庫県生まれ。1963年4月日本電信電話公社（現　日本電信電話株式会社）入社。 1969年3月 日本電信電話公社 中央電気通信学園 大学部、1971年3月 神戸市立外国語大学 英米学科卒。 本社経理局、施設局勤務他を経て、1997年5月 株式会社ヒューコム取締役 2002年4月より代表取締役社長。 主な社外役職に、SEA/J（セキュリティ・エデュケーション・アライアンス・ジャパン）理事長、ブロードバンドセキュリティ委員会（経済産業省）統括主査、セキュリティ対策推進協議会（SPREAD）幹事、次世代超高速ネットワーク推進協議会（総務省郵政事業庁）委員など多数。

情報セキュリティが「身近な問題」という認識に
「ITを避ける」という対策の是非
概念・制度の導入から実装・運用段階へ

情報セキュリティが「身近な問題」という認識に

――ここ1年〜1年半の間、企業の社会的責任（Corporate Social Responsibility）やモラルが問われる情報セキュリティ事件が盛んに報道されるようになりました。その最たるものが、情報漏えい事件です。この現状を、セキュリティの専門家であるお二人は、どのようにご覧になっていますか。

田辺：　少し前までは、「情報セキュリティ」というとハッカーの侵入やウイルス被害などが取りざたされていたためか、一般の方々はどちらかというと無関心、悪くいえば「自分たちには関係のないことだ」と認識していらっしゃったと思います。しかしここ1年の間に、大手プロバイダや通信販売業者、コンビニエンスストアなどの顧客情報漏えい事件が大きく取り上げられるようになり、「情報セキュリティは自分たち自身の問題なのだ」というように意識が大きく変わってきたと思います。

井上：　そうですね。この1年を振り返って、「皆さんのセキュリティ意識が高くなったな」と感じる点もいくつかあります。その1つが、何か事件が起こった場合の対応がスピーディになったことです。トップみずからがセキュリティを企業の問題として考え、報道機関を通じて責任を表明し、対策を練る。つまり「クライシスコミュニケーション」への認識が広まってきたのだと思います。

田辺：　個人情報保護という観点から見ると、「個人情報保護法」という法律の存在も大きいでしょうね。こうした背景から、確かに情報セキュリティに対する認識、関心は高まっていると思います。そこで、いま皆さんが一番気にしているのは、その具体的な対策についてなのではないでしょうか。

井上：　ここ1年の動きを見ていると、まさに企業はその問題に突き当たっていると痛感しますね。情報は大切だ、守るべきだ、という主張は正しい。でも一方で、個人情報を含めた“情報”の価値や重要性を認識せずに、お金で解決しようという動きも出てきているのです。「500円出せばいい」、とかね。この点からいうと、行政サイドではこれまで情報セキュリティに関するガイドラインを策定しているわけですが、その影響力についてはいかがですか。

田辺：　世の中に対し、最も影響力があったガイドラインは、内閣官房から発表された「情報セキュリティポリシーに関するガイドライン」だったと思います。それまでセキュリティポリシーという言葉は一部にしか認知されていなかったのですが、このガイドラインによりセキュリティポリシーの重要性が浸透していきました。これが第1ステップです。次にマネジメントの分野で「ISMS認証制度」を立ち上げました。もちろんこれはガイドラインとは性格が異なるのですが、こうしたルールなり制度なりの存在が、大きな影響を及ぼしているのは確かです。JNSAさんの活動も、そうした意味ではかなり影響力があるのでは。

井上：　そうですね、JNSAが設立されて5年、NPOになって4年経つのですが、その活動の目的が徐々に明確化・細分化してきていると思います。設立当初は、「セキュリティとは何か」「誰がどこまで責任を持つのか」等の社会におけるコンセンサス作りや、海外で開発されたネットワーク製品・セキュリティ製品主導の中で「わが国としてはセキュリティ対策にいかに取り組むべきか」を総合的に考察する場として、ネットワークセキュリティに関する標準化の推進と技術水準の向上に寄与するという課題を持っていました。いまもこの問題意識は変わらないのですが、この1年?1年半の間に、一般企業の中にも同じ問題意識が急速に広まってきたわけです。このため、専門家の育成・教育と、さらなる啓蒙活動を積極的に推進していかねばと考えています。

田辺：　国の立場としても、啓蒙・啓発の必要性を痛切に感じているところです。

井上：　昨年JNSAは、経済産業省からの委託で「インターネット安全教室」という全国キャラバンを実施したわけですが、今年は昨年まわった地域以外にも手を上げてきており、11カ所で開催します。こうしてセキュリティに対する理解をもっともっと深めていくのがわれわれの役目だと思っています。その一方で、具体的な対策案についても講じていく必要があるわけですが。