--コスト問題は非常に大きいですね。社会が情報セキュリティの重要性を認識しはじめたとはいっても、現場は依然として「どのように経営層に情報セキュリティの重要性を訴えていくか」という問題を抱えています。これについて、企業はどのような対応をされているのでしょうか。
山本氏: システム導入時に投資対効果を把握するのと同じ感覚を持つとわかりやすいでしょう。情報セキュリティ上の被害について、その対応策にはどんなものがあるのか。コストはどれくらいかかるのか。しかし、これらを把握するには、システム担当者が取り組むだけでは不十分です。ほかの部門と連携を取ってリスク発生後のシナリオを描けることが重要になります。どんなリスクがどれくらいの被害額になり、その対応にはどれくらいの工数が必要なのか。これを事前に認識して適正なセキュリティ投資をしないと、いたずらに過剰防衛になる可能性もあります。後で詳しく説明しますが、日本ネットワークセキュリティ協会が被害額算出モデルなどを出していますので、参考にするとよいでしょう。
--例えば実際にリスクの洗い出しや、コスト算出に取り組む企業もあるのですか。
山本氏: 多くの企業では、すでに個人情報のリスト化を進めています。しかし全リスクの洗い出しや分析まで出来ている企業はまだ少ないですね。実際、通常のリスクマネジメントでも、リスク分析の部分はなかなか難しいのです。例えば、部門ごとにリスクを洗い出して優先順位を付けていくといっても、どうしても自分の部門を中心に考えてしまいますから。そこで会社全体のバランスを取るために、経営企画室の出番になるわけです。会社経営の方向性を判断する部門が動いてこそ、全体のバランスを取ることができます。この段階まで来ている企業はまだ少ないのですが、「シナリオ作りやリスクの洗い出し、またその分析は、1部門だけでなく、企業の各部門が横連携して作り上げていくもの」という認識を持っていただきたいですね。
ただし、繰り返しになりますが、ここ1〜2カ月の間で、情報セキュリティが企業の重要課題として認識されてきていると実感することも多くなりました。例えば経営者が、突然「プライバシーマークを取ろう」という判断をすることもあるのです。そのため、従来はシステム分野の問題と考えていた経営企画室の方も、ISMSや経済産業省のガイドラインについて、実によく勉強されています。私もあらゆる企業の方と情報セキュリティについてお話しさせていただく機会が多いのですが、本当にここ数カ月の間で、「情報セキュリティに対する理解が深まったな」と思います。その背景には、やはり法律成立の影響があるのではないでしょうか。
情報はモノのように管理できない、だから対策が必要
--情報セキュリティに関する理解が進み、熱心に勉強されている方も増えていますが、やはり全体的なリスク分析で試行錯誤しているケースが多いということですね。
山本氏: 身近な例でいうと、会社の中にどれだけ個人情報があるか、パッといえる経営者はおそらくいらっしゃらないと思います。それは情報という無形物を管理できていないからです。その証拠に、現在の会社の資金額を答えられない経営者の方はいませんよね。つまり、管理の難しい情報というものに、どうアプローチしていくかという問題も浮上してきているのです。退職社員が持っている情報も会社の資産に入るのですから。
こうした中で、“個人情報”がクローズアップされてきて、しかもその情報価値を会社全体のリスクの1つとしてとらえる風潮が出てきました。冒頭で申し上げた「企業には考えなければならないことが山ほどある」とは、こういう背景を含んでいます。ですから、企業リスクとしての情報セキュリティを勉強されている方も多く、理解も進んでいるとは思いますが、社会的なコンセンサスとして議論しなければならないことはまだまだたくさんありますね。
--少し視点を狭めて、社内の情報システム部門に対する評価というのはいかがでしょうか。情報セキュリティを考える上で、情報システム部門の担う役割は大きいのですが、その一方で企業はシステム部門の縮小やアウトソースを進めている状況にあります。こうした動きの着地点はどこにあるのでしょうか。
山本氏: 言葉は悪いですが、情報技術や情報の管理方法に対する経営者の理解は10年前から進んでいない企業も多いのではないでしょうか。1つ例を挙げると、情報処理技術者試験の範囲はどんどん広がり、専門性も高まっているのに、企業内では一括りで“システムに詳しい人”としか見ていません。同じように、情報セキュリティに関しても“セキュリティ”という1つのカテゴリでしか見ていないわけです。だから情報セキュリティの実現についても、1人に対する負荷がとても高くなっている。これが現実なのではと思います。
とはいえ、人手やコストを掛けられないから情報セキュリティ対策ができないというのは、もはや理由になりません。法制度への対応、企業の社会的責任(Corporate Social Responsibility:CSR)の観点などから考えても、セキュリティへの不対応は企業価値の下落につながります。つまり、リスクの直接的な被害を防ぐだけでなく、企業価値を高めるためにも情報セキュリティ対策は重要になってきています。
(第5回へ続く)
※プライバシーマーク
個人情報の取り扱いについて、日本情報処理開発協会(JIPDEC)が評価認定する制度。平成10年4月より運用を開始し、翌11年4月からは「JIS Q 15001」に基づいた評価認定を行っている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」