第6回:情報の価値はどこで決まるのか

損保ジャパン・リスクマネジメント ISOマネジメント事業部課長 山本匡氏2004年09月27日 14時00分
  • このエントリーをはてなブックマークに追加

情報セキュリティ対策の1つに、「企業・組織内の情報価値を判断する」という取り組みがある。情報の有益度がはっきりしなければ、インシデント発生時の被害がどの程度なのか判断できないからだ。では、情報の価値は誰がどうやって決めるべきか。損保ジャパン・リスクマネジメント ISOマネジメント事業部課長であり、日本ネットワークセキュリティ協会(JNSA)で2003年度までワーキンググループリーダーを務めた山本匡氏は、「数値化と合議制」という2つの道筋を示す。

-----------

山本 匡 氏
損保ジャパン・リスクマネジメント  ISOマネジメント事業部 課長
1991年 横浜国立大学 電子情報工学科修士卒。
同年 安田火災海上保険入社、1996年リスクエンジニアリング部門に着任し、現在損保ジャパン・リスクマネジメント ISOマネジメント事業部に在籍。
情報システムに関わるリスクマネジメント、火災・爆発防止に関する安全コンサルタント業務に従事し、セミナー出講、リスクマネジメント関連出稿、レポート作成等を中心に活動を行っている。
2003年日本ネットワークセキュリティ協会・インシデント被害調査WGリーダー。


情報セキュリティの被害額をどう算出するか

--第5回では、CSRやコンプライアンスから見た情報セキュリティの位置付けと、情報セキュリティが財務に与える影響についてお話しいただきました。財務への影響というと、「企業が得るべきだった利益や機会を損失する」という観点と、もう1つ「情報セキュリティ事故に対する対応策・補償」という直接的な影響があります。大半の企業は特に後者に対する関心が高いようですね。

山本氏: 私がリーダーを務めていたJNSAの政策部会「セキュリティ被害調査ワーキンググループ」では、「情報セキュリティインシデント被害額算出モデル」という計算式を提示し、実際にモデルケースの被害額を算出しています。  このモデルでは、上場企業を中心に1000社以上にアンケートを送付し、情報セキュリティ事故に対する投資額・被害額の実例を洗い出して構築したものです。また、個人情報漏えいへの損害賠償額の予想計算式も提案しました(セミナー資料PPTファイル17ページ参照)。また、これらの計算式を基に、個人情報漏えい事件の緊急対応費用について、3億8200万円以上と推定したわけですが、これはかなり控えめに見積もっています。(セミナー資料PPTファイル19枚目)

 多くの企業がこの計算式やモデル被害額について関心を持っているのは確かなようで、3億8200万円という数値が1人歩きしている感がありますが、これはあくまでもモデルですし、もっともっと検討するべき点はあるのです。

--この数値自体が、情報の価値を判断する1つの基準になってしまっていますね。

山本氏: 弁護士の方いわく、実際の裁判では情報漏えいが起こったとき、その悪用の仕方され方や受けた被害の内容によって判決が出されるとのことです。ということは、情報の悪用の仕方しだいでは、モデルと異なる数値が出てくるわけです。ですからこの数値や計算モデルについては、活発に意見交換をして、数値のブラッシュアップや代案が出てくれば、社会的なコンセンサスを生むことにもつながりますし、その結果、企業における予想される被害額をベースとした対策費用設定の目安などに活用できると考えます。


情報の価値は誰がどのように判断する?

--これまでは、自社の中にどんな情報があるか管理しきれておらず、その情報の価値についても議論されてきませんでした。2005年の個人情報保護法の施行をきっかけとして、情報セキュリティの対応はもちろん、情報の価値について真剣に考えるべき時期が来ています。この「情報の価値判断」という分野について、例えば御社で情報の価値を算出する手立てや基準は提供されていますか。

山本氏: 難しいですね。というのは、情報価値に対する絶対的な判断基準が存在しないからです。そこで当社が提供しているサービスといえば、例えばセキュリティ事故によるビジネス中断の影響の算出とか、事故対応シナリオの策定といった分野になってしまいます。

 情報漏えいが及ぼすネガティブな影響についてはJNSAも取り組んでいるのですが、逆に情報が持つプラスの資産価値については、一般的なコンセンサスが生まれにくいと思います。ある企業にとっては重要な情報でも、他社にとってはそうではないものもあります。そこを判断するのは、やはり自社または組織内になるのではないでしょうか。ただ、自社内の人が3人寄って「この情報は大切だよね」と意見が一致するのであれば、その判断は正しいのではないかと思います。このように、スピード感を持って情報の価値判断を行う場合には、無理やり数値に置き換えるのではなく、知見のあるメンバーで合議的に進めていくことが現実解だと思います。

  • このエントリーをはてなブックマークに追加