第9回：「責任感の欠如」という最大のハードルを乗り越えるセキュリティ対策 - (page 2)

セキュリティ対策は果たして“コスト”なのか

--それを解決する手立てはあるのでしょうか。

大木氏：　実際にセキュリティ対策を具現化しようとすると、どうしてもコストの問題が発生してしまいます。事業部にとっては、セキュリティ対策は本業ではないし、そもそもセキュリティをマイナスイメージで捉えている感があります。これは一部の経営者にも当てはまります。

　企業あるいは事業単位に置き換えてもよいのですが、このように考えてみてはいかがでしょう。そもそも現状の売り上げとは、それに対するリソースがあってこそ成り立っているのです。では、そのリソースのセキュリティが侵されたときにどうするのか。見せかけの利益ではなく、「もしリソースに何らかの障害が発生したら、売り上げ自体がなくなるのだ」という意識を持てば、おのずと責任感も生まれてきます。もちろんコストと売り上げのバランスを配分する必要はありますが、セキュリティを無駄なコストだと捉える気持ちはなくなるでしょう。そこで事業部で持つセキュリティ上の責任と、社内的なセキュリティ委員会で持つ責任を切り分け、各々で対処策を施せば、何か事故が起きた場合でも原因と責任の究明がしやすくなります。現状は、そこが曖昧なのですね。だから具体的な改善策に結び付かない。こうした弊害が多く見られますね。

責任の所在を明確にすることの意義

--よくビジネスの継続性（ビジネスコンティニュイティ）という用語が用いられますが、まさにそこに当てはまると思います。何か被害が発生した場合でも事業部としてビジネスを遂行する責任があるので、その考え方に基づいて対策を施すという意味ですね。

　そうですね。企業単位で見ても同じ責任が当てはまると思いますよ。個人情報保護法では、顧客リスト5000件以上を持つ企業を対象にしていますが、どんな小さな企業でも5000件以上の顧客リストは持っていますね。そうすると、中小企業も投資をしてセキュリティ対策を行う必要に迫られます。ただし、お金や人材の豊富な大企業と異なり、中小企業ではどうしてもリソースが限られてしまう。そこで「何もやらない」という意思判断もあり得るわけですよ。セキュリティコストと売り上げを対比したとき、事業が立ち行かなくなるという可能性だって皆無ではありませんから。

　そこで、例えば個人情報の漏えい事件が起こったらどうするか。なぜ放置しておいたのか、その判断を誰が下したかが明確になっていれば、そこから原因を探り、改善へとつなげられます。ところが現状では、なあなあの中で、何となく誰かが責任を持っていることを当てにしている風潮があります。第2回で「トップの意思決定ができない」という阻害要因を指摘しましたが、セキュリティに関していえば、抜本からの見直しと明確な意思決定がどうしても必要になります。法施行も控えていますし、これからはますます事故が起きたときの責任の所在、そして原因が問われることになるでしょう。このような「事故が起こらざるを得ない社会」であることを認識して下さい。

曖昧さが残る企業風土を改革するチャンス

--第1回から続くお話を総括すると、セキュリティ意識が高まってはいるけれど具体策が進まないのはなぜか、それをどう排除していくか、そして具体的な体制作りにどう取り組むかが明確になってきたと思います。最後にもう一度、現在の日本企業が置かれている状況とその対策についてまとめていただけますか。 大木氏：そうですね、ここ1年の間にセキュリティ意識は大きく向上しましたが、まだ議論が成熟していなかったり、体制作りに四苦八苦していたり、悩まれている企業が多いと思います。

　日本企業は従来より「悪い人はいない」という考え方で業務プロセスを構築してきましたが、セキュリティ対策を機に抜本から見直す必要に迫られています。これまでの日本社会は、多くの面で暗黙のうちに安全を前提としていました。それでやってこれたわけですから、結果として曖昧さもそのまま受容でき、アカウンタビリティの欠如が特に問題になることはなかったわけです。その結果が他人に厳しく自分に甘いという体質を作り上げてしまったのでしょう。また、従来の経営アプローチがボトムアップ型ということもあり、トップが率先して意思決定を下すという風土になっていないんですね。

　でもセキュリティ対策を「事業の責任」として考えれば話は非常に明確で、ビジネスを遂行するために必要なリソースをきちんと守るのは当たり前のことなのです。このような考え方に基づいて、セキュリティ対策をコストではなく、当然のことととらまえる考え方が必要なのではないでしょうか。

　そして社員1人ひとりの意識付けを実現し、会社としてビジネスを遂行するために必要なセキュリティを、戦略からプロジェクト、具体的なソリューションへと落とし込んで、それぞれを連携させて実行していく体制作りが必要になります。

　いまちょうど日本企業も大きく変わらないといけない時期に来ていると思います。これまでの風土や体制を打ち破る、飛躍のチャンスとして下さい。