松下電器産業は、2007年7月17日に開催された情報セキュリティのイベント「SANS Future Vision 2007」で、ここ数年にわたる情報セキュリティに関する取り組みを披露した。講演したのは、同社 情報セキュリティ本部 情報セキュリティ推進グループ 推進チームの福本卓郎参事である。

 同社が現在取り組んでいる情報セキュリティの対策活動(ガバナンス)は、2004年4月に始まった。当時の中村邦夫社長(現会長)の掛け声で、情報セキュリティ本部が発足したことにさかのぼる。目標は「高信頼性企業の実現」「企業価値の向上」「企業風土の改革」の3つがあり、中村社長の基本的な指示は「情報セキュリティはグローバル共通であること」「階層を問わず、役員;従業員すべてに適用すること」「教育(啓発)を実施し、違反者には厳正に対処すること」の3点だったという。

 まず取り組んだことの1つが、グローバルISMポリシー体系の制定だ。体系は3階層化されており、基本的な方針を示す「ポリシー」、達成基準や職能規定との連携を示した「スタンダード」、具体的なコントロール策や地域特性を定めた「ガイドライン」がある。

 このほか、注目すべき取り組みとして、情報資産のたな卸しがある。情報保有実態を把握するために、地域別に「極秘情報」「秘情報」を抽出し、情報セキュリティ活動の第一歩とした。例えば、国内の極秘情報は4200件、秘情報は561万件ある。福本氏によると「年々精度が高まっている」という。

 同社は、内部監査にも積極的に取り組んでいると報告した。本部主導の「本部監査」、事業場単位の「内部監査」、事業場が自ら確認する「自主精査」で、ここでも3階層とする。2006年度の実績は519件の内部監査を実施した。

 福本氏は、2006年度までの3カ年の取り組みを振り返り、達成度別に3種類に分類した結果も披露した。達成度が高かったものは、個人情報保護など7項目。一方達成度が低かったものとして見える化と風土化を挙げた。

 講演では、今後の指針も示した。同社ではISMマネジメントレベルに関して、カーネギーメロン大学や経済産業省のモデルをベースとした5段階の成熟度モデルを設定している。現在は、上から2番目のレベル4を達成、2009年にはレベル5を達成し、「世界一情報セキュリティに厳しい会社」を実現したいとした。