第5回:情報セキュリティ対策は企業の社会的責任だ

損保ジャパン・リスクマネジメント ISOマネジメント事業部課長 山本匡氏2004年09月13日 14時00分
  • このエントリーをはてなブックマークに追加

個人情報保護法の施行とともにクローズアップされてきたのが、コンプライアンス(法令遵守)やCSR(企業の社会的責任)という考え方だ。企業の社会的な役割から情報セキュリティを捉えることで、具体的な対策を進めることができる。損保ジャパン・リスクマネジメント ISOマネジメント事業部課長であり、日本ネットワークセキュリティ協会で2003年度までワーキンググループリーダーを務めた山本匡氏に、「コンプライアンス/CSRと企業戦略の関わり、その中で情報セキュリティが果たす役割」を聞いた。

-----------

山本 匡 氏
損保ジャパン・リスクマネジメント  ISOマネジメント事業部 課長
1991年 横浜国立大学 電子情報工学科修士卒。
同年 安田火災海上保険入社、1996年リスクエンジニアリング部門に着任し、現在損保ジャパン・リスクマネジメント ISOマネジメント事業部に在籍。
情報システムに関わるリスクマネジメント、火災・爆発防止に関する安全コンサルタント業務に従事し、セミナー出講、リスクマネジメント関連出稿、レポート作成等を中心に活動を行っている。
2003年日本ネットワークセキュリティ協会・インシデント被害調査WGリーダー。


情報セキュリティを通じてCSRを実現する

--第1回の最後では、情報セキュリティ対策について「直接的な被害を防ぐほか、企業価値の低下を低減する目的もある」と伺いました。昨今、情報漏えい問題が盛んに報道されていることから、「情報セキュリティは企業価値を左右するおそれがある」という認識も育ってきたと思います。そこで今回は、情報セキュリティと企業の社会的責任(Corporate Social Responsibility:CSR)の関係について考えてみたいと思います。

山本氏: いまおっしゃったように、昨今CSRやコンプライアンスという言葉が盛んに使われています。情報セキュリティもCSRの枠組みの中で考えていかなければいけないと思います。第1回では、具体的な情報セキュリティ対策について、企業が抱える全体のリスクの中でとらえる必要があるとお話しましたが、概念的な観点でいうと、同じように会社全体の責任という範囲で情報セキュリティを認識する必要があります。いままでは情報システムをITという視点だけで捉えていたと思うのですが、情報セキュリティという観点に立つと、システムが果たす役割をCSRやコンプライアンスの中で考えなくてはなりません。

 コンプライアンスやCSRというと難しそうなイメージがありますが、決して難しいものではありません。例えば、コンプライアンスは日本語に訳すと「法令遵守」です。法律に違反して、社会に害を与えてはいけないのです。これは企業の社会的責任、つまりCSRに関わってきます。個人情報保護法という法律ができて、「個人情報を保護する」という企業の社会的責任が明確になり、「個人情報の帰属者に損害を与える行為は法律違反」というはっきりしたラインが引かれたわけですね。このように考えると、個人情報保護に代表される情報セキュリティの確保は、企業のCSRやコンプライアンスに結び付きます。法令遵守というと非常に範囲は広いのですが、その先にCSRがあり、情報セキュリティが脅かされることで利害関係者に損害を与えてしまうとCSR上の違反になります。その結果、企業価値が大きく下がる可能性もあります。

 企業価値やブランド価値は定量化しにくい部分でもありますが、ひとたび何かが起きると、企業の存続すら危うくなる可能性があります。特に昨今、情報セキュリティについては、マイナスに傾く危険性を秘めているわけです。


CSRの実現が企業に利益をもたらす

--CSRやコンプライアンスの中で情報セキュリティを考えている企業も多いのでしょうか。

山本氏: 来年度の決算から上場企業はIR報告でリスク情報を開示することが求められます。これもCSRの一環です。上場企業に限った話ではなく、上場企業の関連会社もこうしたリスク情報の報告を取引先から求められる可能性があります。あらゆる企業が、企業の社会的責任の遂行という枠組みの中で情報セキュリティを捉える必要があります。

 米国やでは、半数を大きく上回る消費者が、企業を信用していないと言われています。これらの消費者に対して、企業ができることとは何か。これを真剣に考えてみる段階に来たと思います。消費者の信用を勝ち得る仕組み作りができれば、新しいマーケットの開拓ができるんですよ。「いまは企業と嫌々付き合っている」、「信用できないけど付き合っている」、「嫌だから付き合わない」という3つのグループがあるとすれば、何らかの対策を施すことで、この「付き合わない」グループの人たちが振り向いてくれるかもしれません。その人たちが新たな顧客となって利益をもたらすかもしれません。企業経営として、こういう考え方もあってはいいのではないでしょうか。

  • このエントリーをはてなブックマークに追加