 |
「4月に個人情報保護法が全面施行されたが,多くの企業では『セキュリティを高めよう』という動きがあまり見られない。個人情報保護法“対策”として規定(ルール/ポリシー)を作ったものの,『この後,どうすればよいのか分からない』という企業が少なくないようだ」――。インターネット セキュリティ システムズ(ISS)プロフェッショナルサービス部 シニアディレクターの山口毅治氏は6月9日,プレス向けの説明会において,個人情報保護法施行後の企業の実態を解説した(写真)。
山口氏は,同社のコンサルティング事業および教育事業を統括している。個人情報保護法施行前から,多数のユーザー企業にも直接足を運んで,企業の意識やニーズなどを“肌で”感じているという。
実際にユーザー企業を回った感触では,「多くの企業では『規定や規則を満たしていない部分を,“ポイント・ソリューション”でとりあえず埋めていこう』というのが実情のようだ」(山口氏)という。ここでの“ポイント・ソリューション”とは,情報漏えいを防ぐためのメール・フィルタリング・システムや物理的セキュリティを高めるための入退室管理システムといったセキュリティ製品を指す。
しかしながら,それだけでは不十分だと山口氏は指摘する。「既に規定を作成している組織においては,『規定がきちんと運用されているかどうかをチェックし,必要に応じて見直す』『教育などの人的セキュリティを含めた,組織全体のセキュリティの向上を考える』――といったことが望ましいが,そういったことを実施している企業は少ないように感じる」(山口氏)
実施しない理由として考えられるのは,「規定は作ったものの,その後どうすればよいのか分からないため」(山口氏)。そこで,“とりあえず”必要そうなセキュリティ製品を購入し,導入しているという。また,コストの問題で実施しない企業も多いという。「組織全体のセキュリティを見直そうとすると,コストがかかる。個人情報保護法が施行された現状でも,セキュリティへの投資を後ろ向きの投資と考える企業(経営者)は多い」(同氏)
山口氏によると,多くの企業では,「同業他社の対策状況はどうなのか」「どの程度の対策なら,罰則を受けないで済むのか」といったことを“様子見”しているのが現状ではないかと推測する。これらがはっきりするまでは,各企業は“次の一手”を打たないだろう。
また,企業の中には,個人情報保護法をそれほどシビアに考えていないところもあるという。というのも,個人情報保護法を守れなくても,いきなり罰則を受けることはなく,また,罰則もそれほど厳しくないためだ。「(監督官庁から)何か言われたら,対策すれば十分と考えている企業もある」(山口氏)
(勝村 幸博=IT Pro)
