|
ここ数年で、情報セキュリティに対する企業の姿勢は明らかに変わってきた。
5年ほど前は、仕方なく必要最低限の対策を行っているに過ぎなかった。それも対症療法が大半であった。たとえば、コンピュータウイルスが猛威を振るい始めるとウイルス対策ソフトを導入し、不正アクセスが騒がれるとファイアウォールを設置するなど、敵が姿を現すたびに慌てて対策を立てていた。全社的に筋が一本通ったものではなく、部門ごとのつぎはぎだらけであり、気づくと効率が悪く、高コストとなってしまっていた。しかも対策の大半は技術的なものであり、管理不足がもたらすリスクや、人的ミスが引き起こすものに対しては、ほとんど有効策が打たれてこなかった。
しかしながら、ITリスクは増大し、かつ複雑化する一方である。図1に、ITの変遷とリスクの増大について記した。
1970年代後半〜80年代にかけてメインフレーム(ホストマシン)が大手〜中堅企 業に導入された際、マシンは専用のルームに入れられて管理され、部門の各ユーザも自由度のない端末で入力・確認程度の作業であり、マシンがダウンする以外、漏えいなどセキュリティ上の大きなリスクはさほど生じていなかった。80年代中盤以降、PCが普及し始めたが、当初はスタンドアローンであり、スキルを持った一部の人間がワープロ作業や表計算などをしていたに過ぎなかった。誤操作でデータを消してしまうなどのリスクはあったが、企業存続に関わるような大きなリスクではなかった。
その後PC同士が結ばれてネットワーク時代を迎えるが、時代の転機となったのは90年代半ば、Windows95の登場とインターネットの商業利用開始である。
職場では一人に一台のPCがあてがわれ、リスクは驚くほどふくれあがった。情報漏えいのリスクに加え、データの改ざん、PCの故障や盗難など、数々のリスクが噴出し始め、また、一つのリスクが次のリスクを引き起こして状況は複雑化した。
さらに、各PCはインターネットへと接続されることとなる。「諸悪の根元はインターネット」と言われるほどのリスクの大海原に向かって、各企業が船出をしたのであった。
当時は「世界がネットワークで結ばれる夢のような時代が到来」と騒がれ、インターネ ットの光の部分ばかりが注目されていた。闇の部分である情報セキュリティリスクは軽視され、各企業とも時代に乗り遅れるなとばかりに、ビジネスチャンスを追い求めた。さらに、この当時、「IT」という言葉が生まれ、情報技術の活用による効率性や利便性がもてはやされて、当然ながら企業はその追求に走ったが、やはりリスクは置き去りのままであった。その後、通信技術の発展や機器の軽量化が進み、モバイルが全盛となって、ビジネススタイルは大きく様変わりしたが、そこでも新たなリスクが生み出されたものの、対策はあまり進まなかった。
対策が進まなかった背景には、売上や利益の増加に直接的に結びつかないと考える経営者が多く、情報セキュリティ事件・事故のリスクに対する認識の甘さがあったためである。
結果として、個人情報の漏洩で世間を騒がせて企業イメージを著しく損ね、謝罪に多くの費用をかけ、場合によっては集団訴訟で多額の損害賠償を請求されるなど、大きなツケが回ってきた会社も少なくない。
そういった状況下、次第に経営者は情報セキュリティ対策を経営課題ととらえ、最近では大手企業に限らず、中堅、中小まで対策を進め始めている。その要因として、景気の回復により、「衣食足りて礼節を知る」という状況になってきたこともあげられるが、その他、次のようなことが考えられる。
| |
|
|
| |
- 情報セキュリティに対する社会的な要求の強まり
- 個人情報保護法の施行
- 相次ぐ事件・事故の報道
- 取引先からの要求
- 企業の内部統制の強化
|
|
1は言わずもがなであるが、一昨年から昨年にかけては、2.3.4が大きなトリガーであった。とくに「4.取引先からの要求」は、2.3に起因して、企業が外注先を厳しく管理し始めた結果である(個人情報保護法では、業務委託先の監督も義務づけられている)。とくに大手企業は委託先に対して、情報セキュリティに対する取り組み状況の調査票を提出させたり、対策の証明とも言える「ISMS(ISO27001)」や「プライバシーマーク」の取得を要請したりしている。
すなわち、発注者側が企業を選別する際の評価の一つに、「情報セキュリティ」が加わったと言えよう。従来は、価格や品質、納期などで取引先を選んでいた発注者が、まったく新たな尺度で企業を評価し始めたわけであり、会社の信用構造自体が変わってきたのである。
仕事を得る側からすると、「一定以上の情報セキュリティレベル」が受注の条件となり、たとえコストがかかろうが、仕事をもらうためには、とにかくセキュリティに前向きに取り組まねばならなくなった。中でも、情報システム関連、印刷や広告業界は、その動きが顕著であるが、他の業界へも広がりつつある。こうして急速に国内企業の情報セキュリティ対策が進み始めたのである。
一方で、近時は「5.内部統制の強化」を目的に対策を進めている企業も増えている。
たび重なる企業の不祥事で、コンプライアンス(法律順守)経営が求められ、さらには企業の社会的責任(CSR)に発展した。また、日本版SOX法の制定も控えており、企業としては、今まで以上に管理を強化し、内部統制を図っていかなくてはならない。こうしたことが背景となり、大手を中心として自らを律するため、前向きに情報セキュリティに取り組み始めているのである。
このように、ここ数年で情報セキュリティに対する企業の姿勢は大きく様変わりした。置き去りにされていたリスクに目を向け、受注を得るため、あるいは社会的信頼を構築するため、そして内部統制のためにと、対策が進み始めたのである。
いずれにしろ、情報セキュリティへの取り組みは、企業価値を上げるための会社の基本行動となったと言えよう。
| 帝国データバンクネットコミュニケーション 岡崎弘明 |
|
|
| |
| ■筆者紹介 |
早稲田大学卒業後、帝国データバンク入社。調査部、産業調査部、企画部などを経てECビジネス(電子認証、電子文書送信保管サービス)企画立案に携わり、2000年4月、株式会社帝国データバンクネットコミュニケーション代表に就任。
|
| |
|
