最終更新日 2011/4/1
法人、団体が実施しなければならないこと
個人情報を預かる企業や団体が情報を守る為に実施しなければならないことは様々です。個人情報保護に取り組む事業者の方々に安全管理策を検討していく上で参考にして頂きたい内容をご紹介します。
①安全管理策(情報セキュリティ)について
Pマーク認定を目指す企業など個人情報保護活動を推進する事業者の悩みです。対策に万全はありません。個人情報を事業活動で取り扱う以上、常にリスクを抱えており、それを特定し最小限に抑える手段が必要です。個人情報を取り扱う上でのリスクは漏洩にフォーカスされますが、漏洩そのものがリスクなのではなく、漏洩により顧客やパートナーからの信用を失い顧客に損害がおよび損害賠償請求を受けけたり、事業活動が継続できなくなる可能性こそがリスクなのです。そう考えると個人情報データの滅失や破壊、間違った個人情報データによる意図しない不適切な顧客サービスなども想定した上で適切な対策を検討していく必要があります。
②まずは守るべきものが何かを特定しよう
情報セキュリティと言うとアンチウイルスソフトやファイル暗号化、認証強化などのシステム導入などの対策に目が行きます。自社では何を守らなければならないのかを明確にしなければ対策を打ちようがありません。その根本的な部分が抜けてしまっては高い費用だけが掛かり、効果的な対策が実行されないことはよくあります。自社がなぜ情報セキュリティを実施しなければならないのかを考えましょう。自社がどうなるとまずいのかを想定することで自社で守るべき情報を見つけましょう。これらの情報を特定することが情報を守ることの第一歩です。
③無駄をなくしてシンプルな情報運用をすること
情報漏洩などの事故が発生する要因として、内部従業者の過失が多くを占めています。例えばメールやFAXの誤送信、カバンの置き忘れ、書類の紛失、裁断処理をせずに書類を廃棄するなど様々なケースが考えられます。これらを防ぐために従業者の意識の低さを理由に挙げて、事前対策として罰則の強化や従業者教育の徹底といったことを実施する企業が多くあります。これらも重要ですが、企業や組織の仕組みの中で他の対策を考えることも重要です。単純にミスによる情報漏洩が起こるシーンを仮定しそのシーンを少なくする努力をすれば良いのです。
・今保管している書類は本当に必要なのか
・書類作成するためのフローに無駄はないか
・無駄にコピーをとっていないか
・WEBサービスを活用することで効率化できないか
・メールでファイルを添付する必要があるのか
このように業務の流れを明確にして無駄を省くなどやり方を変えれば情報漏洩が起こるシーンを減らすことが可能です。費用をかけて高い情報セキュリティシステムを導入するよりもリスクが軽減できます。まずは既存の業務の見直しを検討してみましょう。
④必要な情報を必要な時に必要な人だけが使える環境
アクセス制御、本人認証、暗号化・・これらはすべて必要な情報を必要な時に必要な人だけが使える状況を作り出すために必要で情報管理の基本とも言えるでしょう。そもそも必要ない人に情報が見えてしまうということそのものが情報漏洩と言えます。ですから企業としては、情報が生成された時点で一体いつ誰がこの情報を必要とするのかを考えた上でその取り扱い方法を定め、必要以上に情報の閲覧や利用を制限する方法を検討しなければなりません。そのためのツールがアクセス制御、本人認証、暗号化という事です。しかし情報セキュリティを実施する企業の中で、これらの機能の導入自体が目的となってしまっているケースがよくあります。例えばファイルサーバーを構築し社外秘情報を保管するフォルダを作り、正社員しかアクセスできないようにアクセス制限しているにも関わらずその書類のコピーが誰でも手の届く未施錠のキャビネットにファイリングして保管されているなどです。これではアクセス制御が出来るシステムを構築しただけであり、情報セキュリティリスクは残ったままです。
情報セキュリティを検討する上ではこの必要な情報を必要な時に必要な人だけが使える環境ををよく考えて最適な策を検討しなければなりません。
⑤専門家に任せる
情報セキュリティのスペシャリスト(専門家)の存在が注目されています。インターネットを利用した情報流通基盤が整備され、今や企業間や組織内でのコミュニケーションの手段は電話よりもメールが中心、会議もWEBで実施、情報はすべて電子化、といったことが普通の世の中になってきました。こうなると企業としてはインターネットが利用できない、電子化した情報が使えない、といった状況が事業継続を揺るがす、すなわち会社倒産にまで追い込むような危機に繋がる状況にもなりえます。またWEBを利用して顧客にサービスを提供する企業にとっては自社のWEBサイトが悪意を持った第三者に改ざんされたり顧客情報が盗まれるという事故が発生するということも同様に危機に繋がります。情報セキュリティのスペシャリストとはこのような危機回避には欠かせない存在になってきています。情報技術は刻一刻と進化しており、それに伴い情報セキュリティ技術も進化しています。しかし情報技術の進化、情報セキュリティ技術の進化に追いつきその技術を使いこなせる人材というのは希少です。企業にとってあらゆる情報システム活用に関するリスクを回避するには必要な存在です。ですが希少な人材を簡単に採用する事は出来ないし、育てるにも時間とコストがかかります。その場合の選択肢としてアウトソーシングを検討してもいいでしょう。クラウドコンピューティングに関するサービスというのはまさしくこの典型です。SaaS等に代表されるサービスはそのシステムの運用そのものを情報セキュリティのスペシャリストが存在する事業者が担っているということであり、専門家に運用を任せるということです。情報をインターネット上のシステムに保管するリスクを懸念し活用を敬遠している企業も多くあるようですが、情報セキュリティのスペシャリストが存在しない自社の管理下で情報システムを運用するリスクと比べた上で、積極的にクラウドコンピューティングの活用を検討すべきです。
⑥情報セキュリティは常に現状を確認できることが重要
情報セキュリティを実践していく際に、その投資に対して費用対効果を検証することがあります。当然投資をすることになるのでその効果検証をするのは当たり前とも言えるでしょう。しかし、情報セキュリティ投資についてはその効果測定が非常に難しいと言われています。なぜなら、情報セキュリティ投資が有効に働いているというのは、何も起こらないという状況を維持しているからです。すなわち投資する前後で何も変わらないという状態が情報セキュリティ上では良い状態なのです。ただし本当に何も起こっていないのか確認することが重要です。ファイアウォールを導入したのなら本当に不正アクセスを受けていないか、もしくは不正アクセスを防げているか、バックアップシステムであれば予定通り正常にバックアップが取得できているか、アンチウイルスソフトであれば定義ファイルが最新に保たれて、ウイルスの侵入を防げているか、などが確認できてこそ対策が効果的に働いていると言えます。だからこそ情報セキュリティではログが重要なのです。
⑦はじめから備えられている機能を有効に使いましょう
情報セキュリティはシステムを利用する立場の課題でもありますが、システムや情報システムサービスを提供する立場にとっても課題なのです。利用者が安全に使える機能を備えた情報システムやサービスが増えてきています。例えば、GmailやMicrosoftOnlineServiceのメールシステムに切り替えれば、高機能なフィルタ機能でスパムメールを削減できます。これだけでメールからのウイルス侵入やメールによるフィッシング詐欺の被害に遭うリスクが大幅に軽減されます。またクラウドを利用したストレージサービスなどは標準でバックアップが実施されていますし、災害発生時などのシステム停止時間を極力おさえるべくシステムの冗長構成などはどの業者も実施しているでしょう。また最近のPCやUSBメモリは標準でデータを暗号化する機能を備えています。このように情報セキュリティを実践する上で、システムそのものに備わっている機能を有効活用することから検討するのが効率的であり、よりよい情報セキュリティ機能が備わっているシステムに移行することも視野に入れるのが良いでしょう。