「現在全く対策を施していない企業が,個人情報保護法の全面施行(2005年4月)までに万全の対策を施すことは難しい。間に合わないだろう。ただし,短期間でもできることはある。意識付けとシステムによる対策である」――。インターネット セキュリティ システムズ(ISS)のプロフェッショナル サービス部 山口毅治シニアディレクターは9月1日,同社の新サービス「X-Force 個人情報漏洩対策統合ソリューション」発表の席上,個人情報保護法対策について語った。
同氏が「今からでは,まず間に合わない」とするのが,社員へのユーザー教育である。自身の経験から,「小規模な企業なら別だが,ある程度以上の規模の企業では,ユーザー教育に一年はかかる」(山口氏)という。今から始めても,全面施行まであと7カ月しかない。
ただし,きちんとした教育が無理でも「“意識付け”だけなら短期間でも可能」(山口氏)という。「個人情報保護法とは具体的にどのようなものか」「具体的にどのような対策を施す必要があるのか」といったことを社員全員に浸透させることが難しくても,「個人情報保護に関する法規制が始まったので,今まで以上に注意しなくてはいけない」といった意識を持たせることは可能であるという。
加えて,「システムによる対策」も短期間で可能だという。“情報漏えい対策”をうたう製品は多数市場に出ている。それらを使えば,短期間でもある程度の効果を得られる。山口氏によれば,「そういった製品の導入を周知させることで得られる“抑止効果”も大きい」という。「例えば,ある企業ではダミーの監視カメラを導入して効果があったと聞く」(山口氏)。個人情報を扱う企業では,万全の対策が間に合わないとしても,できることから始める必要がある。
今回同社が発表した「X-Force 個人情報漏洩対策統合ソリューション」は,情報漏洩対策に焦点を絞ったコンサルティング・サービス。同社では2001年からセキュリティに関するコンサルティング・サービスを提供しているが,今回,情報漏洩対策に関するサービスを切り出してメニュー化した。具体的には,個人情報保護法で求められるレベル(JIS Q15001)と企業の現状のレベルとの“ギャップ”を調べる「JISギャップ分析サービス」,管理対象となる個人情報を特定する「個人情報特定サービス」,人的な安全対策を監査する「ソーシャルチェック(監査)サービス」――などを用意する。
これらのサービスは,以前でもユーザーの要望に合わせて“個別対応”で実施していたが,今回メニュー化したことで,サービスの内容と料金が分かりやすくなった。例えば,「JISギャップ分析サービス」は100万円から,「個人情報特定サービス」は60万円から,「ソーシャルチェック(監査)サービス」は50万円から。
◎参考資料
◆X-Force個人情報漏洩対策統合ソリューション(インターネット セキュリティ システムズ)
(勝村 幸博=IT Pro)
