情報セキュリティ大学院大学 副学長 教授 林 紘一郎氏

　セミナー冒頭には、情報セキュリティ大学院大学の林 紘一郎 副学長・教授による、「情報セキュリティにおける保護と利用のバランス」と題する基調講演が行われた。法学部出身、33年のビジネスマン生活を経て研究者に転じたという経歴をもつ林氏は、日本の個人情報保護の現状と課題を、法制面など主に社会科学的観点から指摘した。

　「現在の個人情報保護法では、情報漏えいが発生しても、企業の取締役、監査法人、公務員などに対する法的責任は問われないか、せいぜい微罪程度と、責任が希釈化されています。その一方、漏えいを起こした企業に対するマスコミや一般社会の過剰なバッシング、個人や下請けへの厳しい懲戒など、厳罰化の傾向も目立ちます。そもそも個人情報は、特許のような明示的な公開情報と、営業秘密や通信秘密のような非公開情報のいずれにも分類できず、法学的に権利を設定して守ることが難しいという側面もありますが、だからといって『運用で改善できる』と法律改正に踏み込まないのは世間の常識と乖離しています」と林氏。

　とくに、Antinnyによる情報漏えいのように、被害者と加害者の線引きが紛らわしい案件は、刑事法で裁くのは難しい。個人情報保護法には、情報漏えいが発生したときに管理者が負うべき責任は明記されているが、Winny/Antinnyなどを作成して情報漏えいの原因を作ってしまっている作成者の行為については書かれていない。不正行為の定義と管理者の防御措置がきちんと明文化されている「不正アクセス禁止法」と比べても、個人情報保護法は保護と利用のバランスが悪い、と林氏は指摘する。

　ただ、「ウイルス作成罪」のような法律を作って、良質なプログラムと比べて単にビット列の配列の違いに過ぎないウイルス規制を強化すると、今度は開発現場を萎縮させる悪影響が懸念される。そこで法律で厳格に縛る代わりに、ISMS（Information Security Management System：情報セキュリティマネジメントシステム）のような、実効的な慣習や手続きに依存する「ソフトロー」を活用していこうという流れになる、と林氏は考える。

　林氏はこのISMSについて、ISMSとはもともと、品質管理の適用範囲をサービスや環境、経営などに拡張しようという「運動論」が、品質を担保する「仕組み」となり、さらには国際的標準枠組みを用意する「制度」、そして民間ベースのデファクト標準を志向する「制度間競争」へと発展してきたものである点を指摘。そのうえで、「法的拘束力によってではなく、市場における信頼に依拠している制度ですから、生かすも殺すも市場がその有効性を認めるか、ということになります。」と説いた。さらに、「私はこれを『コミットメント責任』と呼んでいますが、これはたとえれば『賞味期限』のようなもので、厳密な法的根拠はありませんが、消費者がそれを信じて購入・消費している以上、表示する側には一定の責任が生じると考えられます」と強調する。

　日進月歩で技術が進み、状況が変わるIT分野では、リスクを被ることになるかも知れないが、幅広い視点に立った体系的な検討が必要で時間がかかる法制化よりも、事例を積み上げていきながら信頼性を醸成していくほうが有効ではないか、というのが林氏の結論だ。すでに環境法などの分野では広く取り入れられている方式だが、果たしてISMSの運用に適用して問題がないのか、林氏のグループでは現在、3年計画での検証中で、近いうちにシンポジウムなどで提案を予定している。

　最後に林氏は、「『水に流す』を英語で『Forgive and Forget（許して忘れる）』というそうです。これに『Never Forgive』（許さない）、『Never Forget』（忘れない）を組み合わせて考えてみると、日本人には、『Forgive』 と『Never Forget』の組み合わせ、つまり、許すけど忘れない、いわゆる『失敗学』の発想が足りないように思えますが、このような、事例を積み上げてそこから学んでいく発想こそ、情報セキュリティ分野の『打ち出の小槌』ではないでしょうか」と語り、基調講演を締めくくった。


　続いて、NECソフト ITシステム事業部マーケティングエキスパート、関徳男氏から「NECソフトが考えるコミュニケーションセキュリティ」というテーマの講演が行われた。

　冒頭、情報漏えい事件・事故の現状について、いくつかの統計資料を交えて説明があった。
1.個人情報漏えい事故・事件全体に占める内部犯罪の比率が、2005年の10％から2006年には36％に急増していること
2.USBメモリなど可搬媒体を介した漏えいが、件数比では全体の8.2％に過ぎないのに人数比では56.5％を占めること
3.盗難や内部犯罪など故意的要因からの漏えい人数が全体の60％に達していること
4.しかし依然として、事件の半数以上は従業員の過失により発生してしていること
これらのことから、個人情報保護法が成立したにも関わらず、情報漏えいや情報損失事件は沈静化していないことがわかる。

　現代は、アルビン・トフラーが「第三の波」で唱えた「情報が価値を産む社会」そのものと言え、情報資産は、活用することで新たな価値が産み出される。情報の不正利用が後を絶たないのも、その情報に価値があることの裏返しである。しかし、情報の価値が高ければ高いほど、アクセスやコピーのしやすさが要求され、リスクを伴って公開されているのが現状であり、情報資産の活用には、「諸刃の剣」的な側面も否定できない。このジレンマを解消するキーワードが「コミュニケーションセキュリティ」になってくるのである。

　この10年ほどの間に、電子メール関連だけで12に及ぶ法改正が行われてきた事実からわかるように、情報セキュリティに対する法制度化の波は急速である。その中多くの企業でセキュリティポリシーが策定・運用されているが、その内容は膨大かつ複雑で、しかも上からルールを押しつけるような構成となっているものが多い。

　「コミュニケーションセキュリティは、セキュリティポリシーをきちんと作ることはもちろんですが、『ルールを守っているかぎり、万一情報漏えいが発生しても企業が社員を保護すること』を定めて会社側の責任を明確にします。そして同時に、セキュリティレベルを向上させることでシステム利用者の負担が増えないよう、さまざまなITソリューションによって業務をサポートする仕組みの確立が重要です」と関氏。

　IT化による情報セキュリティ対策では、外部からの攻撃に対する防御、内部の情報管理、外部との情報の受け渡し方法など、ネットワーク内外の「境界」管理がポイントとなる。とくに、外部へ情報を送ることに「OK / NG」のジャッジメントを出す仕組みを確立することと、組織内部の行動によって境界が無力化されてしまう事態を防ぐことが重要だ。そのために、「持ち込まない」「持ち出させない」「見せない」といったさまざまなルールを設定するわけだが、関氏はここにこそ、コミュニケーションセキュリティの有用性があるという。

　「企業活動はコミュニケーションがすべてです。一日の仕事が、メールを確認して返事を出すことから始まる人は多いと思いますが、これがセキュリティ対策に配慮しすぎるとどうなるか。メールを出していいかどうか上司に確認し、上司は判断に困ってセキュリティ部門に判断を委ねる、などとなって、ビジネスのスピード感が失われてしまいます。あまりルールを厳格化してしまうと組織活動が難しくなるのです。そこで、『セキュリティ確保のためのさまざまな制限を感じることなく、メールをはじめとするコミュニケーション活動の自由度を最大限に高める』というコンセプトをもつ、『コミュニケーションセキュリティ』を提案しています」と関氏。

　この後、コミュニケーションセキュリティを実現するソリューションとして、
1.境界の内外を行き交う情報をチェックして重要情報の流出を防ぐCMF（Contents Monitoring and Filtering）システム「GUARDIANWALL」
2.蓄積された情報資産をビジネスに有効活用させていくためのナレッジマネジメントシステム「KnowledgeWorld」
3.メールをサーバー上で集中管理して外部への持ち出しを防ぐWebメールシステム「WitchyMail」
4.経路上でのメール盗聴と、フィルタリングを悪用した故意的情報漏えいの両方を防げる暗号化システム「PGP Universal」
など、セキュリティチェックをシステムに任せることで、管理者・利用者双方の負担軽減につながるソリューションを紹介して、関氏のセッションは締めくくられた。



　この後、コミュニケーションセキュリティを実現するソリューションに関する詳しい説明が、会場を2つに分けて開催された。

　A会場では、最初に「コミュニケーションのインフラであるメールを安全に活用するために」というテーマで、NECソフト ITシステム事業部 佐藤 真理子氏から、1.Webメールの利便性と高いセキュリティ、2.Webメールシステム「WitchyMail」、3.WitchyMailと連動して携帯端末でのセキュリティを高める端末認証機構「UBIQPASS」などについて説明が行われた。

　休憩を挟んで、「コミュニケーションセキュリティを実現するインフラ構成」というテーマで、同事業部 石井 基之氏から、1.電子メールからの情報漏えいを防止するCMFシステム「GUARDIANWALL」、2.メールアーカイブなど大容量データを安全に保管する「MelodiousStor」、3.安全性の高いPGP方式でメールを暗号化する「PGP Universal」などについて説明が行われた。

　B会場では、最初に「現場が求める、業務に直結したナレッジシステム運用事例」と題して、同事業部 プロジェクトマネージャー 木藤 整敬氏から、1.ナレッジマネジメントシステムの市場動向・運用事例・導入のポイント、2.ナレッジマネジメントシステム「KnowledgeWorld」と株主総会運営支援システム「KaBridge」の説明が行われた。

　休憩を挟んで、「企業内情報を迅速に検索し安全に公開する手法」と題して、同事業部 プロジェクトマネージャー 後藤 和博氏から、1.企業内情報検索システムの現状と導入事例、2.情報漏えい対策システム「Webブラウザプロテクター AE」「Webコンテンツプロテクター AE」の説明およびデモンストレーションが行われた。

セミナー当日の会場風景

　企業をとりまく環境はさまざまなリスクにさらされており、セキュリティ対策強化ばかりを急いだ結果、迅速かつ確実なコミュニケーション活動が犠牲になっている企業も少なくないだろう。コミュニケーション活動不足への危機意識の高まりを反映して今回のセミナーは満席となり大盛況であった。「コミュニケーションセキュリティ」に寄せられる関心の高さがうかがわれるセミナーとなった。


（関連リンク）
●ＮＥＣソフトのコミュニケーションセキュリティ
http://www.necsoft.com/comsec/
●エンタープライズWebメール「WitchyMail」
http://www.necsoft.com/soft/witchymail/
●モバイル向け認証セキュリティ「UBIQPASS」
http://www.necsoft.com/solution/ubiq/
●メールからの情報漏えい防止「GUARDIANWALL」 / 「PGP Universal」
http://www.necsoft.com/soft/guardian/wall/ （GUARDIANWALL）
http://www.necsoft.com/soft/pgp/ （PGP Universal）
●メールやDBと連携するストレージ「MelodiousStor」
http://www.necsoft.com/solution/melodiousstor/
●知識資産の活用と業務の見える化「KnowledgeWorld」 / 「KaBridge」
http://www.necsoft.com/soft/k_world/ （KnowledgeWorld）
http://www.necsoft.com/soft/kabridge/ （KaBridge）
●社内情報の共有と有効活用 「企業内検索システム」
http://www.necsoft.com/soft/esp/
●Webコンテンツの保護「Webコンテンツプロテクター AE / Webブラウザプロテクター AE」
http://www.necsoft.com/soft/wcp/