logo

第17回:米国政府の監査企業の顧問も努めるエキスパートに最新事情を聞く - (page 2)

武藤佳恭(慶應義塾大学環境情報学部教授 工学博士)2005年03月17日 13時20分
  • 一覧
  • このエントリーをはてなブックマークに追加

情報に対するプライオリティを明確にする

――運用フローの違いのほかに、明確な差というのはあるのでしょうか。

武藤氏: 情報に対するプライオリティが大きく異なります。日本では、個人情報保護法は制定されていますが、情報の種類という面では未整備だと言えます。米国政府は、当然のことですが個人情報の中では、健康の情報に最も高いプライオリティを置いており、実際にHIPAAが最も高いセキュリティ対策費用を使っています。

 そして、健康に関する情報の取り扱いについては、日本と欧米諸国では大きな開きがあります。欧米諸国は、医療用のカルテが患者に属するものという認識ですが、日本ではおかしなことに医者の著作物という扱いとなっています。個人の体に関する情報が、見る方の著作物であるというのは、おかしいですよね。この認識が覆されない限り、正しいプライオリティになることはないと思われます。

【拡大表示】
米国政府のセキュリティに関するマッピング。「Healthcare」や「Public Facility」のプライオリティが高い位置づけとなっているのが分かる。
出所:Acuity Market Intelligence

――企業のセキュリティに対する認識の違いについてはいかがでしょうか。

 認識の違いという意味では、米国では企業がセキュリティの問題が起きた際に、最も被害が大きいと認識しているデータは、知的財産の流出です。こうした考えは日本には希薄なので、暗号化するシステムを取り入れていても、実際には暗号化されていないマスターファイルがパソコンにそのまま保存されているということも少なくありません。

 また、世界的には1年前よりVoIPのプロトコルとして一般化しているH.323の脆弱性として、傍聴されたり、なりすましにあったりする可能性が指摘されています。しかし、日本のIP電話サービスを提供している企業やハードウェアベンダーが、こうした部分を指摘する声がすくないことは問題視したほうが良いと思われます。

OECDなどへの提案で全体の底上げを

――武藤さんは、通産省セキュリティ評価基準調査研究など、日本政府の機関のアドバイザーとしても活躍されていましたが、その時の状況はいかがでしたか。

 正直申し上げまして、日本政府は問題を先送りにする傾向がありました。実際に私が、何か提案しても、「時期尚早」と返されることが少なくありませんでした。何か、新しいことに挑戦する場合には、リスクがつきものであり、情報セキュリティは常に最新のものに対応する必要があります。また、現状のセキュリティの状況やトレンドをしっかりと把握しているCIOがいないことも問題と捉えています。

 日本は民間企業が主体で進んでいる風潮がありますが、法律や統一基準の策定など、民間主導で進めて行くには限界がある部分もあります。是非ともこうした傾向が改善されることに期待しています。


――武藤さん自身は各種の問題は、どのようにしたら解決されるとお考えですか。

武藤氏: このような状況ですと、やはり日本はセキュリティ後進国という立場から抜け出せません。また、提案した場合でも、上記のような理由から、提案を受け入れてもらえないというケースも多々ありました。いま、最も必要なのはセキュリティに対する戦略立案から実際のツールの運用までマネジメントできる真のセキュリティプロフェッショナルが、政府に入り込んで指揮をとることです。

 一方、民間主導の体制のままでも標準化団体などからは、ある程度底上げを支援できると考えています。実際に問題解決のための一助になればと思い、私が委員を努めているプライバシーマークの評価委員会では、「TRUST-eプライバシーマーク認証取得」をOECD(Organization for Economic Cooperation and Development:経済協力開発機構)へ提案することを視野に入れています。世界標準を日本から生み出すことによって、日本のセキュリティレベルの底上げにつながればと考えています。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]