KDDIが今年6月に公になった情報漏えい事故を受けて発表した(関連記事)。再発防止対策にかける費用は総額100億円に上るという。
KDDIが今まで情報漏えい対策を講じてこなかったはずはない。一部にシン・クライアントを導入するなど,さまざまな対策を施してきた。それでも,今回改めて100億円を投じるほど,セキュリティ強化の余地が残っていたわけだ。逆に言えば,KDDIくらいの規模の企業になると,少なくとも100億円くらいはかけなければ,ガッチリとしたガードは作れないということだろう。
さて,そこで思い出したのが,NRIセキュアテクノロジーズが7月に発表した「企業における情報セキュリティ実態調査2006」である。日経コミュニケーションでも速報記事をWebサイトに掲載した。調査結果にあるのは,Winny対策として,8割の企業がPCの社外持ち出しを禁じているということだ。
ただ,この調査には,ほかにも「8割」がある。「個人情報保護法への対応状況」がそれ。「一通りの対策は完了した」と回答した企業が,全体の8割に達した。
ここで言う対応状況が何を指すのかは明確ではない。もちろん,プライバシ・ポリシーを明記したり,顧客からの問い合わせ受け付け窓口を設けたりといった項目は入るだろう。ただ,大半はKDDIが実施するような情報漏えい対策なのではないかと考えられる。それが,8割もの企業が「完了」と考えている状況にはかなり驚かされた。
施行から1年以上経過しているのだから,一通りの対策完了が8割に達していても不自然ではないのかもしれない。しかしそれでも,KDDIの例のように,対策強化の余地が多分に残っているのが実情なのではなかろうか。
もはや,個人情報保護法の施行前のような機運の高まりはない。KDDIなどの事故に対する感覚もマヒしつつあるのではないか。実際,シン・クライアントなど,もてはやされはしたものの,導入企業はあまり増えている様子がない。ほかのセキュリティ対策も同様なのではないか。それでも東証1部・2部上場の3000社では,8割が対策を終えつつあるという。思うい浮かべるのは「喉元過ぎれば」という言葉。ちょっと心配になってきた。
