「情報セキュリティは、1社だけで取り組んでも効果は薄い。取引先企業を含めた対策が必要だ」――。松下電器産業 情報セキュリティ本部の金森喜久男 上席審議役は、2008年3月5日に開催された「情報セキュリティガバナンスシンポジウム 2008」で、同社の情報セキュリティに関する取り組みについて講演し、取引先企業のセキュリティ向上策に言及した(写真)。
松下電器産業が2004年1月1日に設立した情報セキュリティ本部では、5つのプロジェクトを推進している。取引先企業のセキュリティ格付けを実施しているのは、このうちの「購入先プロジェクト」だ。
具体的には、材料や部品の購入先企業を、「A2」「A1」「A」「B」「C」の5つにクラス分けする。A1レベル以上であれば重要技術情報を共有することが可能である。Cレベルの場合は、取引をしないという。
ただ、実際に2006年3月に国内の取引先企業2365社の情報セキュリティ・レベルを評価したところ、「本音を言うと、大変ショッキングな結果だった」(金森氏)。Aレベルに達したのは、わずか6%。Bレベルが14%、Cレベルが80%だった。そのままでは、8割の企業とは取引できなくなってしまう。「具体的にどうすれば情報セキュリティを強化できるのかがわからないという企業が多かった」(金森氏)。
そこで実施したのが、取引先企業に対する情報セキュリティ研修である。2006年5月から7月にかけて、東京、大阪で数回実施。数百社が参加したという。
情報事故の80%はITに関連していた
松下電器産業は、社内の情報資産を洗い出した上で、これまでに起きた情報セキュリティ事故を常に分析している。「2004年4月から2007年3月で657件の事故が起きた。そのうちの半数がパソコンの盗難・紛失で、ほかにメールやFAXの誤送信など、約80%の事故がITに関連するものだった」と金森氏は説明する。
また技術情報に関しては、事故を7つのパターンに分類している。(1)材料メーカーや設備メーカーからの漏洩や不正利用、(2)退職者による電子情報の持ち出し、(3)パソコンやサーバーからの情報漏洩、(4)試作品の盗難、(5)他社の知財情報の流入、(6)技術移転先企業の情報管理不備、(7)競合他社への転職、である。「こう見ると、やはり取引先企業と一緒にセキュリティ対策に取り組む必要があることがわかる」(金森氏)。
トヨタや独BMWなどの自動車会社、NTTドコモやKDDIなどの携帯電話事業者、フィンランドのノキアや米デルといったIT機器メーカーから、監査を受けることも増えているという。金森氏は、「2007年あたりから、取引先企業についてセキュリティ対策の報告書を求められるようになってきた。同社だけでなく、取引先企業の情報セキュリティ・レベルを客観的に測る指標を求める企業は増えているのではないか」と指摘した。
