インタビュー 識者が語るセキュリティ
経営トップの自覚と決断が情報セキュリティ対策の源泉
~ 改正個人情報保護法を見据え、企業が取るべき対策とは ~
2016年11月
前回は情報漏えいを防ぐために経営トップの決断と情報セキュリティ責任者を任命する重要性を紹介した。しかし、情報漏えいリスクを100%解消することは現実的には難しい。万が一、情報が漏えいしてしまった場合、企業はどう対応すべきなのか。また改正個人情報保護法など新たな法令への対応も考えていく必要がある。
情報の価値が高まる中、企業に求められることも多様化している。前回に引き続き、企業リスク管理の第一人者である弁護士の牧野二郎氏に、リスク対策の要諦と情報活用の注意点などを聞いた。
情報漏えいの際の初動対応がその後の明暗を分ける
――前回はセキュリティリスクの現状と企業が行うべき対策を伺いました。セキュリティは経営課題であり、その対策強化は組織的な取り組みになる。だからこそ、経営トップの決断が欠かせないということですね。
情報漏えいを起こした企業の経営トップがよく口にするのが「知らなかった」「できているはずだと思った」という言葉です。「~はず」と思う理由は、現実を見ていないから。トップがそう思っているだけで、具体的な指示がないから、部下は何もやっていないのです。
しかし、現実を見れば、どこに課題があり、何を改善すべきかがわかります。自社が今どういうリスクに直面しているのか。システムやルールにどんな課題があるのか。情報セキュリティ責任者は常に最新の情報を経営トップに報告し、指示を仰ぐ。見直しが必要な点があれば、進言し改善を図っていく。両者の緊密な連携がセキュリティを強くしていきます。
――しかし、万が一、情報を漏えいしてしまった場合、企業はどのように対処すべきでしょうか。
情報漏えいが起きた場合、初動対応が極めて重要になります。まずやるべきことは、どういう情報が漏れたかを調べ尽くし、その種類や範囲をできるだけ詳細に把握すること。漏れた情報を特定したつもりでも、そのバックアップデータにまで被害がおよんでいることもあります。自社にとどまらず、子会社や関連会社の持つデータまで、しらみつぶしに調べることが重要です。
漏えいの全貌が把握できたら、その情報をできるだけ早く公開すること。調査中のものがあれば、正直にそれを公表し、いつまでに結果を発表するかも明示する。
それと並行して、警察や監督官庁、IPAなどに被害状況を報告します。今の警視庁には特別な機関が設けられ、信頼に足る高度なセキュリティ技術を有しています。直ちに原因究明に向けて、動き出してくれるでしょう。
こうした対応が後手に回ると、不安を募らせるばかりか、情報隠ぺいを図っているのではないかと見られ、事態がかえって深刻化してしまうこともあります。後になって「あれも漏れていた、これも漏れていた」では社会の信頼を失います。一部に公表を嫌う傾向がありますが、「公表することで起きた事実に正面から対峙する姿勢を示すこと、二度と起こさない決意を示してその姿勢が社員全員に共有されること」、このような行動を起こすことが再発防止の第一歩であり、基本なのです。
情報漏えいが発生したら、これだけのことを迅速に行うことが求められます。それには組織的なサポートが欠かせません。だからこそ、全権を担う情報セキュリティ責任者が必要なのです。
――被害状況をより詳しく早く公開することが、信用回復のためにも重要なのですね。
それはもちろんですが、二次被害を食い止めるという点でも大きな意味があります。どういう情報が漏れたのか公開すれば、該当者に注意を促すことができます。何も知らないと不審なメールが届いても、気にせず開いてしまうかもしれませんが、そういうリスクがあるとわかっていれば、慎重な対応が可能になります。
監督官庁やIPAに報告することで、情報はすぐに業界全体で共有されていきます。同じような脆弱性を抱える企業があっても、対応パッチを適用するなど、すぐに対策をとることで被害の拡散を防げます。
改正個人情報保護法で情報活用の可能性が広がる
――セキュリティ対策を考える上で、法令への対応は欠かせません。企業が今後考えるべき法改正などの動きはあるのでしょうか。
個人情報保護法が改正になり、2017年の4月から9月までに施行される予定です。改正新法の特徴の1つは「要配慮個人情報」という概念が追加されたこと。これは病歴、投薬歴、犯罪歴、差別の助長につながるような情報のことで、本人の明確な同意がなければ、その情報を使うことはできません。個人の属性情報をより厳格に管理することが求められます。
一方で情報活用を促進する内容も盛り込まれます。これまでは個人情報を持つ企業から別の企業への第三者提供はできませんでしたが、改正新法では個人を匿名化すれば、本人同意がなくても情報を自由に使えるようになります。情報に対する理解が大きく進んだものと評価しています。
具体的には氏名、住所、生年月日などの識別情報を削除して個人を特定できないようにすれば、趣味嗜好などの属性情報は統計データとして使うことができるのです。情報を活用して新しい産業をつくり出してほしいというのが政府の狙いです。例えば「どのエリアの、どの年代に、どういう趣味嗜好の人が多いか」などの情報をより広範囲に、詳しく把握できるようになるでしょう。複数の情報をマッシュアップし分析することで、新しいニーズが明確になり、それに応えることで新しい価値が生まれると考えられています。
現場の若手社員を巻き込んでIT活用の新しいルールづくりを
――情報の管理と活用に向けて、企業側はどのような点に注意すればいいのでしょうか。
情報を取得する場合には、収集目的や利用方法を明示して取得すること。また、誰から、いつ、どのように購入したか、販売したかといった記録を取っておくことに注意しましょう。情報の出所について調査が必要になったとき、それらの履歴の提示が求められることがあるからです。
情報活用を図るには、関係者への説明責任を果たすことも欠かせません。「どういう目的で個人情報を使用するのか」「それによって何を目指しているか」「どのような利益が生まれるのか」などをきちんと説明すること。それによって周囲の理解も得られるし、誤解に基づくトラブルも回避できるでしょう。
――最近はSNSをはじめとするコミュニケーションツールをビジネスに活用するケースが増える一方、ここから重要な情報が洩れる危険性も高まっています。こうしたツールとの“付き合い方”に関する見解を聞かせてください。
最近はFacebookで企業ページを開設したりTwitterの企業アカウントを設けて、エンドユーザーへの情報発信や接点強化を図る企業が増えています。また誰でも利用できるオープンなSNSを使って、外部の人との交流から情報を入手するといった使い方をする人も少なくありません。情報発信は、個人の表現の自由との兼ね合いがあり、法律だけではコントロールが難しい面がありますが、発信した情報は本人の意図しないところで拡散していく可能性があります。
例えば、会社の役員が、いつ・誰と会ったか。見る人が見れば、その情報だけも大きな意味を持ちます。業界関係者なら、企業同士の合併の話や新規プロジェクトの立ち上げの話などピンと来ることもあるでしょう。何気なく書き込んだ情報が、実は競争企業にとっては得がたい貴重な情報となることがあります。こうした情報漏えいのリスクに対処するには、「外部の人の目に触れる可能性がある場合は、会社のことは絶対書かない」などのルールを作り、その徹底を図ることが大切でしょう。
そのルールづくりには常にサービスに接している新入社員や若手社員を入れて考えるのがベスト。SNSをあまり使わない年配の上司がルールをつくっても現場と乖離するだけ。若手の社員のアイデアをもとに、上司が一緒になってブラッシュアップしていく。そういうオープンな環境は組織のセキュリティレベルの向上にも、きっといい効果をもたらしてくれると思います。