リスク管理 編

「情報を持つ」ということのリスクとアドバンテージ 

個人情報保護法。2005年4月に全面施行された「個人情報の保護に関する法律」の略称です。これ以前にも、電話帳への掲載を取りやめるなど、名前や電話番号、住所などはむやみに書くものじゃないという意識はすでに広まっており、「情報を持つ」ということのリスクについて個人的なレベルでは意識され、行動にも影響を与えていましたが、企業活動に影響を与えるという意味で、個人情報保護法の施行は大きなインパクトを持ったものでした。

この法律の施行によって、多くの企業で個人情報を扱う運用ルールを変更するなどの措置がとられましたが、改めて考えてみて、情報セキュリティーという観点でリスクを包括的に正しく評価し、その上で必要十分な対策が取られているのかというと、どうなのでしょうか。そもそも必要十分な対策とは何でしょうか？
いまや、パソコンや携帯電話は一人一台以上持つ時代。あらゆる情報がデジタル化され、ものすごいスピードで進化するIT。そもそも守るべきものは何で、どういったモノ、あるいはコト、あるいは誰から守ればいいのでしょうか。

2010年12月24日、日本ネットワークセキュリティ協会(JNSA)は「JNSA 2010セキュリティ十大ニュース」を発表しました。これを見ると、最新のセキュリティーの課題がよく分かります。

情報漏えいに関するものが多いのですが、他にも、最新ウイルス対策、クラウド、スマートフォン、インフラ制御システムのセキュリティーや、情報改ざん、ファイル共有ソフト、情報監視・検閲等、セキュリティー対策が必要な部分が非常に多岐にわたっていることが見て取れます。
これらさまざまな形で広がっていくセキュリティーの課題は、一般の人々だけに限らず、ITにかかわっている人たちであっても、知らないことが多いのではないでしょうか？

PCへのウイルス対策ツールの導入、個人情報の取り扱いプロセスの徹底など、法律で定められた範囲、あるいはわかる範囲のものについては対応をされている方も多いでしょう。しかし、全体像を把握できていない状況においての対応は、「知らない幸せ」を謳歌しているだけと言えるかもしれません。「知らない幸せ」が実は「知らないリスク」であったと後悔しないためにも、リスクの全体像を把握し、適切なレベルの対応をしていく必要があります。
しかし、情報セキュリティー対策は、どれだけやっても完璧とは言えない世界。さらにはそれ自体が利益を生むものではないため、企業として積極的に取り組むモチベーションが働きにくいという構造的な問題もあるのも事実です。そのため他社と同じくらいのレベルにしたいと思われる方が多くなってしまいます。とはいえ、他社と同レベルにするのも難しいのです。自社のセキュリティー状況を公開すること自体がセキュリティー上の弱点を明かすことにもつながるため、情報セキュリティー対策を公開する企業自体がほとんど存在しないのです。
やはり、お隣がやっているからうちもやるではなく、自社のビジネスに対するリスクを評価し、それに対して適切な対策を施すというのが正しい姿であるとIBMは考えます。

ではどうやってリスクの評価をしたらいいのでしょうか。
IBMは、リスクの全体像を把握し、適切なレベルの対応を見極めるフレームワークと成熟度モデルを持っています。その具体像とはどんなものなのか、日本IBMでリスク管理のエバンジェリストを務める大西克美に話を聞きました。