経営に必要な情報セキュリティマネジメントの要諦（4）<BR>【連載最終回】NRIセキュアテクノロジーズ

　情報セキュリティに対する取り組みは、セキュリティポリシーを定め、推進組織を設置しただけではなかなか効果が出ない。

　図は過去４年間に起きた個人情報流出事件のうち原因が判明している940件あまりの事件の原因の内訳である。一番多い原因は盗難であり、これには自宅でのPCの盗難や、車上荒しなども含まれている。

　この図から分かるように、外部からの不正アクセスやシステムトラブル等による情報流出は全体の１割程度であり、残りの約９割は現場の従業員一人ひとりの行動に起因するものである。その中でも特に、「勝手な持ち出し」のように故意的な行為は4%に過ぎず、残りは無知や過失によるものである。

　では、現場部門でのセキュリティレベルを向上させるにはどのようなことが必要なのであろうか。答えの１つはセキュリティ対策の現場化であり、もう１つは従業員の意識改革である。

　セキュリティ対策の現場化とは、これまで何度か触れてきたように現場部門での情報セキュリティの管理者を明確にすること、ITによる対策を従業員一人ひとりのPCやその中のソフトウェアまで対策・管理することである。つまり、組織・制度的な対策、ITによる対策の双方による「仕組み化」を現場部門の個々の従業員のレベルまで浸透させることである。

　例えば、部署ごとのファイル共有サーバを設置して部課レベルの状況共有を行っている会社は多い。しかしそのファイル共有サーバのセキュリティ管理は、たまたまパソコンに詳しい若手の社員が、本業の片手間に行っていることが多い。通常、バックアップは取られておらず、取られていてもテープメディアがサーバのすぐ横に放置してあるのが通例である。

　また新しく従業員が部課に配属になった時のID登録はすぐに行うが、退職したり他の部署に異動となった場合のID削除はなかなかされない場合も多い。しかもそれを迅速に行ったからと言って、それで人事的評価が上がることはあまりない。いわゆる、「むづかしい」「面倒」「むなしい」という３M作業が押し付けられている例である。

　情報セキュリティの管理者を明確にするということは、単に現場部署でセキュリティ対策を行う人をアサインするということではなく、職責上も明確にされ、対策を推進することによってきちんと評価される人を設置するということである。


出所）2002年1月から2006年2月までの個人情報流出事件に関する各種報道資料よりNRIセキュアテクノロジーズ（株）作成。
（１/２）