「情報をどのように利用するか」が価値を決める
--先ほども「悪用のされ方によって被害額が変わる」というコメントがありましたが、情報はまさにその利用方法によって価値が変わりますからね。
山本氏: そうです。現状では、大半の企業は情報の利用価値について表面的な認識しかないのかもしれません。情報の特殊性は、二次被害が発生するリスクを秘めていることなのです。再三申し上げているように、情報はモノと違い、いくらでも複製したり、瞬時に流通させたりといったことが可能です。一度流出した情報を取り戻す術はありません。何に使われるかわからないからこそ、「悪意を持った人がこの情報を入手したらどんなことをやるだろう」と考えてみるのも重要です。
多くの会社は、かなりの件数の個人情報を持っています。また、行政関係が持っている個人情報は、より網羅的です。かつて住基ネットが論議をかもしだしたのも、行政側が持つ国民1人ひとりの情報と、通信記録や銀行の口座情報などを組み合わせれば、それこそいろいろな悪事に展開できてしまう危険性を秘めているからなんですね。
また、例えば悪意を持った人たちで主要な携帯電話会社に忍び込み、各社が持っている個人情報を盗めば、それだけで携帯を持っている日本国民のほとんどの個人情報が入手できてしまうわけですよ。実際、このように特殊な事情を持つ事業者を対象とした個別法が出るという話もあるようですが、そうした意味を噛みしめて情報の価値を判断する必要があると思います。
--企業の中には個人情報だけでなく、営業情報や特許情報なども存在します。こうした情報についても価値判断が必要ですよね。
山本氏: その通りです。現在は法の施行が間近に迫っていることもあり、個人情報が大きく取り上げられていますが、企業内には「個人情報でもなければ機密情報でもない、あいまいな情報」というものもたくさん存在しています。これからはそういう情報に対する価値判断も学んでいく必要があるのではないでしょうか。
海外のセキュリティ事例と比べた場合、一般的な日本企業の情報セキュリティに対する取り組みはいかがですか。
--先ほども「悪用のされ方によって被害額が変わる」というコメントがありましたが、情報はまさにその利用方法によって価値が変わりますからね。
山本氏: 一般的にいって情報セキュリティのレベルはそれほど大きくは変わらないと思います。いま企業は考えなくてはならないことや、やるべきことをたくさん抱えていますが、だからといって日本企業が海外より劣っているということはありません。むしろ、携帯電話の利用が進んでいることもあり、携帯まで含んだ形の情報セキュリティでは先進的役割もあると思います。
ただし、その分情報セキュリティ事故に巻き込まれるリスクも高いのです。携帯電話からのモノの売買や送金の仕組みなどが一般化し、大きなセキュリティ事故につながりやすい。われわれ個人も常にそうしたリスクを抱えているという意識を持つ必要がありますね。
--先ほどの情報漏えいの二次被害についてもそうですが、われわれ個人の情報がどこで流出し、どのように悪用されるのかを自分自身の問題として考えなくてはなりませんね。
山本氏: そうですね。個人の立場で考えてみれば、自分の会社で保持している個人情報の価値や取り扱い方も、おのずと慎重になると思います。
卑近な例で恐縮ですが、会社宛に売り込みの電話が掛かってきますよね。ああした形で個人情報を利用される例を考えると、果たしてどこからどれくらいの情報が流出し、どのような経路でどこに渡っているか、われわれ個人からはまったく見えないということに気づくでしょう。もちろんリスクは人それぞれ異なりますし、リスクに対する考え方も各人各様ですが、「自分の個人情報がひとたび企業の手に渡ったら、それがどのような形でどう使われるかまったく関与できない」ということは、強く認識しはじめている事を企業側も認識する必要があると思います。
だからこそ、企業はCSRやコンプライアンスの観点から情報セキュリティを考える必要がありますし、被害額算出モデルを参照し、妥当性を検討しながら、情報セキュリティに対する基準値を策定する取り組みが必要になってくるのです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス