インタビュー 識者が語るセキュリティ
経営トップの自覚と決断が情報セキュリティ対策の源泉
~ 改正個人情報保護法を見据え、企業が取るべき対策とは ~
2016年10月
標的型攻撃をはじめとするサイバー攻撃の脅威はとどまるところを知らない。故意や過失により、企業内の情報が外部に漏えいする事案も後を絶たない。情報漏えいはなぜ繰り返されるのか――。企業は情報の管理と活用のバランスをどう考えていくべきか――。企業リスク管理の第一人者である弁護士の牧野二郎氏へのインタビューをもとに、企業が考えるべき対策を2回にわたって考察する。
1回目は情報漏えいを起こさないための戦略的取り組みを考えていく。
「できているはず」という思い込みは禁物!
――個人情報保護法に加え、昨年からマイナンバー制度が施行され、情報管理に対する社会的な意識がますます高まっています。その一方、情報漏えいなどの事案が後を絶ちません。最初に情報漏えいの定義について、牧野先生の見解を聞かせてください。
企業が保有する情報は「誰が、何のために利用するのか」という明確な基準のもとで運用・管理されています。この基準から外れて、想定外の第三者に情報が渡ることを「漏えい」と呼んでいます。
漏えいと似た言葉に「流出」があります。現象としては情報漏えいと同じですが、こちらはどちらかといえば不可抗力で起こった場合に使われます。社員の内部犯行や脆弱性を放置したことによる過失のもとで情報が第三者に渡る場合を「漏えい」、そうでない場合は「流出」と呼んで区別することが多いですね。
――どういう企業で情報漏えいが起こってしまうのですか。
典型的なのは、利益重視でセキュリティがおろそかになっている企業。セキュリティはコストという意識が根強く、積極的に投資しようとしない。しかし、ひとたび情報漏えいが発覚すれば、せっかくの利益が吹っ飛んでしまうほどの損害を被ることもあるのです。その危機感が希薄な企業が少なくないのが現状です。
セキュリティに関して「できているはず」という思い込みも危険です。システムや運用ルールはあっても、実は10年以上前に作ったものがそのままになっているケースもあります。10年前と今ではIT技術もビジネス環境も大きく変わっています。時代遅れのシステムやルールでは、巧妙化するサイバー攻撃に太刀打ちできません。
セキュリティの責任者がいない企業もリスクが高い。責任者がいないと、全社的なルールの徹底が難しい上、脆弱性が漫然と放置されていることがあるからです。独立行政法人 情報処理推進機構(IPA)から脆弱性をチェックするツールも提供されているのですが、それを使いこなせる状況になっていない。脆弱性が放置されていれば、サイバー攻撃の被害に遭う可能性が大きくなるのは当然です。
全権を任せる情報セキュリティ責任者を任命せよ
――情報漏えいが発覚した場合、企業には具体的にどのような影響が懸念されますか。
漏えいした情報の重要度や被害状況によって社会的影響は変わってきます。特に個人情報の漏えいは、企業のビジネスに与えるインパクトが非常に大きい。マイナンバー制度の施行によって、個人番号を漏えいした場合には刑罰の対象になることもあり得るからです。漏えいした個人情報が悪用されて、無防備な個人に影響が“飛び火”する二次被害の懸念もあります。
契約や技術開発に関する機密情報の漏えいも企業に大きなダメージをもたらします。自社の問題だけでは済まされず、取引先など広範囲に影響がおよぶためです。取引の停止やスポンサーの撤退など甚大な被害に発展する恐れがあります。
いずれにしても、個人情報や機密情報を漏えいした企業の社会的信用は失墜します。事後対応に振り回されることで、社員のモチベーションの低下も懸念されます。株価や経済的な損失はもちろんですが、それだけでは計れない深刻な影響が出てくるのです。信用の回復には時間がかかります。最悪の場合は市場から退場せざるを得ないこともあるでしょう。
――情報漏えいが後を絶たないのは、企業側の意識が変わっていないからでしょうか。
大きな不祥事を経て、大企業ばかりでなく、中堅中小企業の経営者の意識も変わってきています。しかし、まだ経営課題として捉えている企業は少数派。意識は変わりつつあり、内部統制の項目として情報セキュリティも組み込まれてきていますが、十分に実践されていないのが現状です。
では、なぜ実践に結びつかないのか。一番の問題は、情報セキュリティの責任者を決めていないからです。情報を守り、有事の際は率先して対応にあたる責任者は不可欠の存在です。その人のスキルアップを支援し、組織として全面的に支える体制を整備することが大切です。
――体制の整備に向けて、企業はまず何を行うべきですか。
セキュリティを経営課題と捉え、経営トップがしっかり自覚を持って決断することです。
そして情報セキュリティの全権を担う責任者を任命し、予算も権限も与える。組織として、きちんとバックアップする環境を整えるのです。この軸がしっかりしていないと、任命された人は「万が一、情報漏えいが発生した場合、責任をとらされるだけ」とネガティブな考えに陥り、体制がうまく機能しません。第一、“詰め腹を切らされる”と思ったら、誰もやりたいとは思わないでしょう。
自社セキュリティの“鳥瞰図”を把握する
――情報セキュリティ責任者は、どのような役割を担っているのですか。
まずは自社のセキュリティが今どうなっていて、どこに課題があるのかという“鳥瞰図”を把握すること。その上で、権限を行使して予算配分からシステムの整備、専門家によるチェックまでトータルに責任を持って実行する。最新のセキュリティリスクの現状を踏まえ、運用ルールも適宜見直す必要があるでしょう。
最初のうちは新しいことに対して現場の反発があるかもしれません。しかし、動き始めるとスムーズに回っていくものです。そうすることで、組織としての安心感も高まっていきます。
――人員が限られる中小企業の中には、そもそも情報システム部門がない会社もあります。その場合はどうすればいいですか。
例えば、ITのことを総務部が兼任しているなら、セキュリティの担当部署は総務部でもいいと思います。そこが中心となって、法務部門や経理部門と連携して対応していく形を作っていくといいでしょう。人が足りないのであれば、外部のセキュリティベンダーの協力を仰いだり、グループの親会社に運用を委託する方法もあります。
リスクと対峙し、情報をどう守っていくか――。大切なことはセキュリティ全体の“鳥瞰図”を把握し「自社におけるセキュリティがどうなっているか」を明確にすることです。それがわかれば、セキュリティ強化に向けた必要な対策も浮き彫りになってきます。
筆者プロフィール
牧野総合法律事務所 弁護士
牧野 二郎(まきの じろう)
中央大学法学部卒業。1996年、インターネットを利用した法律情報の交流などを行う「インターネット弁護士協議会(現インターネット法律協議会)」を設立し、2002年4月まで同代表を務める。情報化社会の中で変化する法律の役割や効果を踏まえ、企業のリスク管理などをサポートする。『新個人情報保護法とマイナンバー法への対応はこうする!』(日本実業出版社)、『最新!ここまでわかった 企業のマイナンバー実務Q&A』(日本法令)など著書多数。
関連情報
情報セキュリティに関する情報
情報セキュリティに関する情報は以下の記事でもまとめています。
ぜひ御社のセキュリティ対策を考える際にご参考にしてください。
インタビュー 識者が語るセキュリティ
-
「舘野 真人氏(株式会社アイ・ティ・アール シニア・アナリスト) 」が語る
New Normalの時代に求められるコミュニケーション環境のあり方
-
「馬場 正博氏(BBIコンサルティング代表、中小企業診断士) 」が語る
在宅ワークではコラボレーションツールと人材マネジメントはどうあるべきか
-
「坂 明氏(一般社団法人 日本サイバー犯罪対策センター理事) 」が語る
増大するセキュリティリスク、攻撃者は弱いところを狙っている
-
「牧野 二郎氏(牧野総合法律事務所 弁護士) 」が語る
改正個人情報保護法を見据え、企業が取るべき対策とは
-
「梅崎健理氏(株式会社ディグナ 代表取締役) 」が語る
デジタルネイティブ世代のセキュリティ意識とは
~ 若者はセキュリティの意識が薄くその前提で新入社員を教育する必要がある ~ -
「夏野剛氏(元NTTドコモ役員 現 慶應義塾大学 特別招聘教授) 」が語る安全への考え方
「何を守るか」を明確にすることがセキュリティ設計の第一歩
~ 人とモバイルの在り方はどう変わっていくのか ~