中国では、日本では考えられないようなセキュリティ事故がよく起こる。組織としてリスクコントロールを誤ると、事故発生はもちろん、セキュリティ対策が組織運営を妨げる事態も発生する。実際に起こった出来事を例に、中国に進出する日系企業が情報セキュリティにどう取り組むべきかを考える。

「会社の顧客名簿を売ってもらえないか?2000元でどうだ」

 上海で企業活動を続ける日系企業A社の役員にこんな電話がかかってきた。中国では情報自体の価値は認識されておらず、情報の複製、コピー品が横行していることは同氏も知っていた。とはいえ、まさか自分のところに電話がかかってくるとは思っていなかった。日本人であれば売ることは少ないかもしれないが、2000元(日本円で約3万円)となると比較的高額ととらえられるため、従業員なら売ってしまうかもしれないと考えた。

 日本でも名簿業者に情報が販売される事件が発生しているが、中国にも情報を売り買いする闇マーケットは存在する。売買ブローカーは非常に多く、大量の情報を安く販売していることが多い。また、日本とは文化・習慣が大きく異なり、仕事中に得た情報は自分のものである、という認識を持たれることが多い。情報の持ち出しを指摘したとしても、「情報を持ち出すことの何がいけないのだ?」と返されてしまうだろう。事実、内部の人間しか知らない情報が匿名掲示板に自慢げに張り付けられる事件は多々ある。

中国におけるセキュリティ事故

 2009年、日本では多くの情報漏えい事件が発生した。特に大量の情報流出をもたらす内部犯行の事件が、新聞、インターネットなどで取り上げられた。最近のインシデントレスポンス(情報セキュリティ事故発生時の対処手法)はマスコミ対応が中心であるといっても過言ではないほど、重要なポイントである。

 一方、中国でも情報漏えいの事故は発生しているが、個人情報保護は地方条例にとどまり、政府から事故発生の申告義務を課せられていることもないため、事故が表向きになることはない。そのため、マスコミの関心が集まることもない。とはいえ、流出した情報を利用した悪質な勧誘によって顧客が被害を受けた場合には、裁判沙汰に発展することも考えられる。もし事故が中国でニュースになった場合、日本にもその影響は波及する。日系企業としては、中国と日本の両方への影響を考えなければならない。

 また、コピー品を作られたとしても顧客名簿がなければ販売が難しいことが多く、細々と道端で露店を出す程度にとどまる。製品のコピー品と顧客名簿がそろったときに、企業の被害はより大きくなる。顧客情報が漏えいした場合のリスクは、やはり大きいと考えるべきだろう。

 こうしたことから、例に挙げた日系企業A社は、情報漏えい対策を決心した。今まで築き上げてきたブランドイメージの低下と利益の低下が大きな損失をもたらすと判断したのである。

「日本流」では通じない

 セキュリティ対策で重要なのは、文化・習慣の違いを考慮した対策を施すことだ。頭では分かっていても、実践できている組織は少ない。よくある失敗例としては、日本の本社にあるセキュリティポリシーをそのまま中国支社に展開し、日本と同じ方法で「これを読め」と配布するだけにとどまるケースだ。

 費用対効果の高い対策を実施するためには、経営理念・方針のほか、社会や市場からの要求に基づいて基準を決め、さらにそこから仕組みに落とし込むことが重要である。何を目的として、どのような情報を、どのようなリスクから守るのかを明確にしなければならない。さらに組織としては可用性も含めてバランスよく見ていく必要があるが、基準がない場合、セキュリティ事故発生時に事業停止などの甚大な損害を被ることになる。

 そして中国では、社員に情報セキュリティの必要性を訴えかけるよりも、まず社内の仕組みを作るほうが効率がよい。

 仕組みとしては、機密性の観点からまず二つを考えたい。業務に必要な情報だけにアクセスできるようにする制御、そして基準に沿った教育の仕組みだ。ある程度のアクセス制御をシステムによって実現すれば、教育しなければならないポイントも絞られる。さらに重要なのは、社員にとって教育を受けることのメリットは何かを明確にし、教育を実施した後は実地監査やミニテストなどで確認を行うことだ。問題があればそこを改善していく。当初は強制されている対策が、情報セキュリティを意識する文化へと変化することも一つの狙いである。

 現在の中国は、国全体をみると情報セキュリティへの意識が高いとは言い難い。ただ、ウイルス対策ソフトが広まりつつあり、ISO27001を取得する企業も出てきている。今後の動向に注目したい。


富田 一成(とみた・いっせい)
ラック ビジネス開発事業部 セキュリティ能力開発センター
CISSP、CISA

このコラムでは、上海に拠点を置くラックのエンジニアが現地で体験したことを基に、中国のセキュリティ事情と、適切なセキュリティ対策について解説します。(編集部より)