ITが社会インフラの一つになっている現在では,情報セキュリティに関する事件/事故を起こすと,その影響は当事者の企業だけにとどまらない。関連企業や顧客,取引先,さらには社会全体に影響を及ぼす場合さえある。そこで今回の記事では,社会的責任(CSR)の観点から,企業のセキュリティ対策を考えてみたい。
影響が社会全体に及ぶ場合も
情報セキュリティにかかわるさまざまな事故や事件は,大きな社会問題となっている。2005年に起きた証券取引所のIT障害を見ても分かるように,システム障害やプログラム上の欠陥に加え,人為的ミス(操作ミスなど)も大きな脅威となっている。
証券取引所の事件は,経営幹部の進退に及んだだけではなく,日本の金融システムの脆さを露呈し,国際的な信頼の失墜にまで至った。この事故を振り返ると,社会基盤がITに依存している現在,IT障害の影響が一企業内の問題に留まらず,社会全体に波及することを改めて認識させた。
同時に,IT障害や災害によるリスクを明らかにし,事業の継続性(事業継続計画:BCP)を確保することの重要性を再認識させたといえる。
深刻な情報漏えい事故も後を絶たたない。個人情報保護法が全面施行された2005年4月以降,深刻なものだけでも,4半期ごとに150件以上の事故が報告/報道されている。最近では,ファイル共有ソフト「Winny」による情報流出が問題となっている。
情報漏えい事故の原因の80%は“うっかりミス(不注意による情報漏えい)”といわれており,これは,企業における個人情報や顧客情報,機密情報などの管理の甘さ,人的対策の不徹底が原因だ。情報漏えい事故は企業の信頼を失墜させ,信頼回復に多大なコストを費やすことになる。
一連の事件/事故は,企業がその社会的責任(CSR)を果たすために,情報セキュリティが重要な要素となっていることを示唆している。その企業にだけにとどまらず,関連企業やパートナ企業までも巻き込んだ情報セキュリティ対策への取り組みが求められているといえるだろう。
セキュリティ対策を企業価値の向上に結びつける
以上で述べた,CSRの観点からのセキュリティ対策の重要性については,「第1次情報セキュリティ基本計画」でも強調している。第1次情報セキュリティ基本計画とは,今後3年間の我が国における情報セキュリティに関するさまざまな活動の指針となるもの。内閣官房情報セキュリティセンター(NISC)は2月3日,政府の情報セキュリティ戦略会議の正式決定を受けて,「第1次情報セキュリティ基本計画」(PDFファイル)を公表した(関連記事)。
同基本計画ではもう一歩踏み込んで,企業の社会的責任を踏まえた「情報セキュリティガバナンス」の確立と,その推進を求めている。
情報セキュリティガバナンスとは,「社会的責任にも配慮したコーポレート・ガバナンスと,それを支えるメカニズムである内部統制の仕組みを,情報セキュリティの観点から企業内に構築・運用すること」とされている。
とはいえ,情報セキュリティガバナンスの確立とその推進を呼びかけるだけでは,企業が取り組むとは思えない。そこで同基本計画では,セキュリティ対策が企業価値の向上に結びつくシナリオを考えている。
具体的には,「情報セキュリティ対策の取り組み状況を,共通の指標で見える形にする,いわゆる『見える化』を実施して公表し,ステークホルダー(利害関係者)から適正な評価を得ることで,企業価値の向上へと導く」というシナリオである。「共通の指標」としては,情報処理推進機構(IPA)が公開している「情報セキュリティ対策ベンチマーク」が一つのモデルとして考えられる。
これにより,企業の情報セキュリティ対策を市場評価に結びつけることが可能になり,今までは“対症療法的対策”だった企業のセキュリティ対策を,自律的かつ継続的に改善および向上する仕組みへと進化させられるとしている。
企業における情報セキュリティガバナンスについては,経済産業省の情報セキュリティ政策室から,その取り組みに関する情報が公開されている。
また,2005年3月に,そのガイドラインとなる報告書「企業における情報セキュリティガバナンスのあり方に関する研究会の報告書(2005年3月)」(PDFファイル)が公開されているので参考にしていただきたい。
大谷 俊一 (OHTANI Toshikazu) 
NECソフト株式会社 MCシステム事業部セキュリティ部
IT Pro Securityが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
