監査法人のトーマツは2010年11月15日、プレス向けのセミナーを開催し、同社の関連組織デロイト トウシュ トーマツが国内外のユーザー企業(金融分野および情報系分野)に対して実施したセキュリティ意識などに関する調査結果を報告した。
セミナーではまず総論として、「グローバル化する企業の対応」と題して、海外に拠点を持つ、あるいはこれから持とうと考えているユーザー企業がセキュリティをどう確保していくべきかを解説した。トーマツによれば、例えば海外へのアウトソーシングを進めるに当たっては、国ごとのリスクを考える必要があるが、国内ユーザーはまだ「日本での情報セキュリティの常識」にとらわれているケースが多いと警鐘を鳴らした。
「例えば、日本のユーザーなら個人情報を扱う際、何も言わなくても『それは外に出してはいけない』と考えるユーザーが多い。しかし、海外の場合、国によっては『自由にアクセスできるのだから、そんなに重要な情報とは思わなかった』などと平然と言い訳をするケースがよく見られる。運用ではなく、きちんとしたアクセス制御で情報を守る必要がある」(デロイト トーマツ リスクサービスの丸山満彦パートナー、写真1)。
丸山氏はまた、海外で企業買収(M&A)をした際に、その企業がどの程度のセキュリティ対策を施しているかをしっかりと把握していなかったために、買収後に大きな追加コストが発生したユーザー企業の事例を紹介した。海外展開を進めるに当たっては、こうした国ごとのリスクや法令をきちんと把握したうえで、中央集権型、連邦型、地域自治型など全体としてのセキュリティ統治の戦略を立てる必要があるという。
情報の管理体制で海外企業と国内企業に“温度差”
続いて登壇したのは、デロイト トーマツ リスクサービスの谷口博一パートナー(写真2)。谷口氏は「金融業グローバルセキュリティ調査2010年」と題して、同社が2009年から2010年にかけて実施した金融サービス業のユーザー企業に対するセキュリティ意識調査の結果を報告した。
谷口氏が調査結果のポイントとして挙げたのが、いくつかの質問項目における海外企業と国内企業の「温度差」である。特に注目すべき項目として紹介したのが、「情報セキュリティを所管する幹部がCIO(最高情報責任者)に(普段から)報告をしているかどうか」という質問項目だ。
日本以外のアジアを含む海外諸国は、最低でも15パーセントの企業が「報告をしている」と答えたのに対して、何と日本だけが0パーセントだったという。「日本では報告をしているかどうかというよりも、そういう役職自体がまだほとんど存在していないのではないか」(丸山氏)。
一方、日本だけが飛び抜けて高かった項目もある。それは、「個人情報の保護について責任を有する上級管理職が1人以上存在する」という質問項目に対する回答だ。海外の平均が53パーセントであるのに対して、日本は100パーセント「存在する」と回答したという。この結果について丸山氏は、「個人情報保護法が制定されたことがやはり大きい」と分析した。
