情報セキュリティ対策の1つに、「企業・組織内の情報価値を判断する」という取り組みがある。情報の有益度がはっきりしなければ、インシデント発生時の被害がどの程度なのか判断できないからだ。では、情報の価値は誰がどうやって決めるべきか。損保ジャパン・リスクマネジメント ISOマネジメント事業部課長であり、日本ネットワークセキュリティ協会(JNSA)で2003年度までワーキンググループリーダーを務めた山本匡氏は、「数値化と合議制」という2つの道筋を示す。
|
情報セキュリティの被害額をどう算出するか
--第5回では、CSRやコンプライアンスから見た情報セキュリティの位置付けと、情報セキュリティが財務に与える影響についてお話しいただきました。財務への影響というと、「企業が得るべきだった利益や機会を損失する」という観点と、もう1つ「情報セキュリティ事故に対する対応策・補償」という直接的な影響があります。大半の企業は特に後者に対する関心が高いようですね。
山本氏: 私がリーダーを務めていたJNSAの政策部会「セキュリティ被害調査ワーキンググループ」では、「情報セキュリティインシデント被害額算出モデル」という計算式を提示し、実際にモデルケースの被害額を算出しています。 このモデルでは、上場企業を中心に1000社以上にアンケートを送付し、情報セキュリティ事故に対する投資額・被害額の実例を洗い出して構築したものです。また、個人情報漏えいへの損害賠償額の予想計算式も提案しました(セミナー資料PPTファイル17ページ参照)。また、これらの計算式を基に、個人情報漏えい事件の緊急対応費用について、3億8200万円以上と推定したわけですが、これはかなり控えめに見積もっています。(セミナー資料PPTファイル19枚目)
多くの企業がこの計算式やモデル被害額について関心を持っているのは確かなようで、3億8200万円という数値が1人歩きしている感がありますが、これはあくまでもモデルですし、もっともっと検討するべき点はあるのです。
--この数値自体が、情報の価値を判断する1つの基準になってしまっていますね。
山本氏: 弁護士の方いわく、実際の裁判では情報漏えいが起こったとき、その悪用の仕方され方や受けた被害の内容によって判決が出されるとのことです。ということは、情報の悪用の仕方しだいでは、モデルと異なる数値が出てくるわけです。ですからこの数値や計算モデルについては、活発に意見交換をして、数値のブラッシュアップや代案が出てくれば、社会的なコンセンサスを生むことにもつながりますし、その結果、企業における予想される被害額をベースとした対策費用設定の目安などに活用できると考えます。
情報の価値は誰がどのように判断する?
--これまでは、自社の中にどんな情報があるか管理しきれておらず、その情報の価値についても議論されてきませんでした。2005年の個人情報保護法の施行をきっかけとして、情報セキュリティの対応はもちろん、情報の価値について真剣に考えるべき時期が来ています。この「情報の価値判断」という分野について、例えば御社で情報の価値を算出する手立てや基準は提供されていますか。
山本氏: 難しいですね。というのは、情報価値に対する絶対的な判断基準が存在しないからです。そこで当社が提供しているサービスといえば、例えばセキュリティ事故によるビジネス中断の影響の算出とか、事故対応シナリオの策定といった分野になってしまいます。
情報漏えいが及ぼすネガティブな影響についてはJNSAも取り組んでいるのですが、逆に情報が持つプラスの資産価値については、一般的なコンセンサスが生まれにくいと思います。ある企業にとっては重要な情報でも、他社にとってはそうではないものもあります。そこを判断するのは、やはり自社または組織内になるのではないでしょうか。ただ、自社内の人が3人寄って「この情報は大切だよね」と意見が一致するのであれば、その判断は正しいのではないかと思います。このように、スピード感を持って情報の価値判断を行う場合には、無理やり数値に置き換えるのではなく、知見のあるメンバーで合議的に進めていくことが現実解だと思います。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス