第３回：個人情報保護が企業に与えるインパクト
　　　　　　 　　　　　　　〜従来の事故対策の限界

こんにちは、ＩＳＯ総合研究所の藤原と申します。
　　　　　　　　　　　　　　　　　　　http://www.isosoken.com/
「毎度！ＩＳＯニュースです」をご購読頂きまして有難うございます。
今日は、Ｓｃａｎ　２００３／１１／１３の記事からです。
どうぞ、ご覧下さい！
━━━━━━━━━━━━━━━━━━━━━━━━━━━━・・・…
■■■［ＩＳＭＳ］
■■■第３回：個人情報保護が企業に与えるインパクト
■■■　　　　　　　　　　　　　　　　　　〜従来の事故対策の限界

　前回は、とるべき情報セキュリティ対策の要件を検討した。そこで、
次の課題は、実際にどのように情報セキュリティ対策を講じたらいいの
かである。とはいえ、どんな企業でも相当の事故対策は講じている。例
えば就業規則には、会社の規則に従い、財産を持ち出し、漏洩し、毀損
することを禁じる規定が定められている。これでは足りないのか。今回
は、従来の事故対策に不足する特徴的な点を考えてみよう。


【特徴1】　経営陣がセキュリティ対策の目標を示していない。

　筆者がセキュリティ対策の構築に臨んで痛感する共通点の第一はこの
点である。経営陣はセキュリティ対策を講じることによって経営に何を
もたらすべきかを把握して全社に示し、対策を行う社員がこれを理解し
ているだろうか。目標はあってもスローガンに終わっていないだろうか。
セキュリティポリシーに魂は込められているだろうか。スローガン、書
式集のアレンジに止まってはいないだろうか。セキュリティ対策の目標
を明確に意識しその目標の実現に向けた組織は存在するだろうか。
　NOが一つでもあればことは重大である。そのセキュリティ対策は、情
報環境が質的に変化したことによって、これまで事故を防止してきた
「常識」が通用しなくなっていることを看過し、事故対策に限界を生じ
ている可能性が高い。

　従来の事故対策は、「それぞれの部署がその権限を行使して職責を果
たせば事故は防止できる」という思想によって支えられていた。セキュ
リティ対策も、現場各人が果たすべき職責の一つであり、リスクへの対
処それ自体を課題とする組織は構築されず、仮にあってもシステム部門
、通常部門の付随的な業務とされていた。
　この思想は、紙による情報システム時代以来のものである。媒体は殆
どが紙。情報の流通は人手や郵便、電話やファックス。情報を保管する
方法は、綴って書庫や倉庫。ＣＩＡが損なわれる脅威、リスク、対処方
法はおおよそ共通していた。社会には、これを支える教育も法制度も完
備され、常識ある社会人であれば誰もがこれを認識し、対処を行うこと
ができた。こうした情報環境のもとでは、特別の必要がない限り、情報
のＣＩＡをことさらに課題とする必要もなければ、組織作りの必要性も
ない。合理化策としてメインフレームが導入された後も、メインフレー
ムのＣＩＡはシステム部門に任せれば足りたのである。
　会社の情報セキュリティは、社員の常識を造りあげた社会に依存して
構築されていたといってよい。

　しかし、ペーパーレス、ネットワーク時代においては、もはや紙時代
の常識は通用しない。情報の記録、流通、保管、廃棄の仕方は、紙から
電子技術へと変化した。脅威のあり方も全く異なる。ファイアウォール
やＩＤＳ、ＩＤＰが玄関の警備員と同じ、セキュリティの不十分な無線
ＬＡＮが葉書を街中にばらまくのと同じ、ＰＤＡの持ち出しが会社の書
庫の持ち出しと同じだといって備えをする社員を見つけるにはシステム
部門に行かなければならないだろう。
　また、社員全てが脅威や脆弱性、リスクと防止策について共通認識を
持つことを、常識に期待することも不可能である。社会は、未だ、現代
の情報環境に対応する常識を構築する力を持っていない。家でも学校で
も未だ紙が中心である。情報そのものを対象とする法制度も未だ整備さ
れていない。例えば情報は未だ窃盗罪の対象となっていない。文書偽造
罪に匹敵する不正指令電磁的記録等行使の罪も筆者も出席した法制審議
会刑事法部会で検討された後立法待ちである。印鑑証明に匹敵する公的
認証制度も未だ整備されていない。
　しかも、情報環境の変化は止まることを知らない。ＯＳ、アプリケー
ション、入出力デバイス、記録媒体、ネットワークの技術は不断に進化
し、これに対応して脅威のあり方も変化する。
　加えて、社員の文化も外部委託や派遣社員の増加などによって流動性
を高めている。

　共通認識の存在しない会社では、「それぞれの部署がその権限を行使
してその職責を果たす」と言ったところで、対処しようとする脅威も、
把握されるリスクも、対処方法もバラバラとなって、組織のリソース配
分は統制がとれず、社内には不安と不満が渦巻くことになる。システム
部門は、毎日、新たな情報を入手しては、システムトラブル、不正アク
セスやウイルスと戦い、技術の最前線に立ってＣＩＡの確保に奮闘して
いる。しかし、隣にいるユーザは、電子情報が、容易に大量にコピーさ
れ、瞬時に世界中を飛びまわり、データベース化されて新たな価値を生
み出すこと、世界中のハッカーやクラッカーが不正アクセスを繰り返し
、ソシアルエンジニアリングの達人達が企業情報を狙っていること、産
業スパイが同僚を恐喝してパスワードとIDを取得しようとしていること
を想像できない。システム部門が業務部門を回って脅威を説き、パスワ
ードやＩＤをパソコンに書くなとか、クリアデスク・クリアスクリーン
が大切だと言ったところで、紙情報システム時代の文化を引き継ぐ現場
は「俺がしっかりやれば大丈夫」、「よけいな仕事」だというのは当然
の成り行きである。

　こうした状況を前に、経営陣は、情報セキュリティの整備が、通用し
なくなった常識の構築、それを支えるインフラの構築であることを知ら
される。人は築きあげたバベルの塔を皆で支え合わなければならない時
代を迎えた。OECDのセキュリティ新ガイドラインがセキュリティを文化
として把握するのはこうした流れを反映したものであろう。


著者：稲垣隆一　（株）ＳＳＩＪ顧問。弁護士、ＩＳＭＳ主任審査員。
日本弁護士連合会コンピュータ委員会副委員長を務める傍ら、公務では
警察庁総合セキュリティ対策会議委員、経済産業省情報セキュリティ監
査研究会委員、総務省地方公共団体における情報セキュリティ監査の在
り方に関する調査研究会委員、JIPDEC平成１５年度システム監査基準検
討ＷＧ委員として活動。著書は「サイバースペースと法規制」、「情報
ネットワークの法律実務」、「個人情報保護と企業対応」等多数。
　　　　　
　　　　　　　　　　　　　　　　　Ｓｃａｎ　２００３／１１／１３

━━━━━━━━━━━━━━━━━━━━━━━━━━━━・・・…

こんな情報が来ると思ったとか、こんな情報が欲しいんだという、皆様
の意見を承っております。皆様のＩＳＯのお取り組みを、少しでもサポ
ートできれば幸いです。今後とも、ＩＳＯ総研を宜しくお願い致します。

  　　　　　　　　　　　　　　　　　ＩＳＯ総合研究所　藤原　将博
　　　　　　　　　　　　　　　　　　　　fujiwara@isosoken.com

━━━━━━━━━━━━━━━━━━━━━━━━━━━━・・・…

■ＩＳＯ総合研究所
http://www.isosoken.com/
■有限会社　プリンスキー
http://www.prinsky.com/
■ちっこんなメルマガいらねーや（メルマガ解除）
http://www.mag2.com/m/0000068644.htm

----------------------------------------------------------------