過去のコラムは、https://www.itc-kyoto.jp/category/column-old/に移行しています
入会案内
お問い合わせ
入会案内

企業の情報漏洩防止について/大塚 邦雄

 個人情報の管理について法整備が進み、昨年個人情報保護法が成立し来年には本格施行されます。個人情報に関する関心も高まっており如何に情報管理を行うかが今問われていますが、この情報管理は会社の大小に関わらず実施していかなければなりません。もし情報漏洩が発生した場合の代償は測りしれないものがあることは周知の事実であり、転ばぬ先の杖で必要にして十分な対策を取っておきたいものです。

 それでは情報漏洩を防ぐにはどうしたら良いのでしょうか。ここで改めてセキュリティポリシーについて考えてみます。セキュリティポリシーと言うと堅いイメージになりますが初めから雁字搦めで度を過ぎたものを作ってもいけません。
費用対効果、業務への影響度を考えたバランスが必要であり、大上段に構える必要もありません。そもそも情報漏洩の問題は今に始まったことではありませんし情報が価値を持っていたのは今も昔も変わりませんが情報の量・スピードが飛躍的に違い、そのもたらす価値が全く比べ物にならないものとなっており、セキュリティポリシーも社会の情勢によって対象となるものも変わってきます。このメルマガを読まれている読者は当然パソコンを使われインターネットに接続して情報を得ているわけですからウィルスの脅威にも曝されています。ですから情報を得るだけでなく情報が漏れる可能性も秘めていることになります。

 ではセキュリティポリシーで何を決めればよいのでしょうか。まず守るべき情報が何かということですが、情報セキュリティポリシーの対象となるものは、1.情報システムそのもの。これはハード、ソフト、CDなどの外部記録媒体があたります。2.情報システムによって電磁的に記録された内容、3.前記情報に接する人、となります。守るべき情報そのものは更にその重要性によって分類します。
 一例をあげると、(顧客・社員の)個人情報あるいは会社情報の機密性、情報の正確性・完全性の保証、情報を継続的に利用できる可用性などが考えられます。

 次にこの情報の価値を明らかにするとともに情報資産毎にリスクを分析します。
一般的にリスク大きさはその発生頻度と被害の大きさの積で求めます。
セキュリティー対策はこのリスクの大きさを下回る範囲とします。また忘れてはならないことは被害を防止するだけでなく実際に被害が発生したときに如何に早く復旧して定常業務に戻すか、その期間・費用も想定しておかなければなりません。そしてこの情報システムを管理する人、あるいは利用する人の権限と責任を決め、対策案としてまとめます。対策案はこのリスクの大きさを小さくするのですから、発生の頻度を抑えるか(例えばアクセス制限)、影響範囲を狭める方策(例えば分散管理)を講じます。こうして出来たセキュリティポリシーは一度策定したら終わりでなく、ここからがスタートとなります。情報技術は日進月歩で変わりますし、スピード経営で会社の組織もフレキシブルに躍動を続けます。一度作成したものも運用してみて、問題がないか評価し、見直しをして常に最適化を図らなければなりません。この点がよく忘れられてしまいますので、情報システム管理責任者は常に留意しておきたいところです。

 セキュリティポリシーが決まったら具体的な対策案を検討しますが、対策案としては、大きく次の3つがあります。
(1)物理的なセキュリティ
 大事な情報が入っているパソコンが物理的に壊れたり、盗難にあったら手も足も出ないでは業務に支障があります。あるいはネットワークの回線が切断されてデータの受け渡しが遅れては困ります。また最近はノートパソコンの高性能化で持ち歩く機会が多いですが、危険度合いも高まります。これらの危険から情報システムを守るため設備・機器管理をします。
(2)人的セキュリティ
 セキュリティの厳格化は時として業務の効率性・利便性に反することがあります。どこまで厳密にするかは前に述べましたリスクとの兼ね合いになりますが、大事なのは危険を予知した場合の迅速な対応であり、被害を最小限に抑えることに重点を置いた教育・訓練が必要です。ウィルスに感染しても知らぬふりをされ、被害が広まったらそれこそ大変です。また“人を見たら泥棒と思え”という諺もありますが、組織内部において日頃からのヒューマン管理が大切です。
(3)技術的セキュリティ
 技術的なセキュリティとしては情報システムへのアクセス制限・記録、バックアップの取得、データの暗号化があります。また利用者に対して目的外の利用禁止・パソコン自体を含む記録媒体の持ち出し禁止・無許可のソフトウェア導入禁止などを徹底します。これらの技術的なセキュリティについては各種のソフトウェアも開発されていますのでそれらを利用して安全対策を十分に立てておきたいものです。

 セキュリティ問題は範囲が広く、専門的知識が必要となります。情報システムに不安を感じたらITコーディネータにご相談ください。

■執筆者プロフィール

 大塚 邦雄
 情報処理システム監査、ITコーディネータ
 25年にわたるシステム経験をもとにIT化を支援します。
 e-mail:kunio920@mbox.kyoto-inet.or.jp

研究会
介護ソリューション研究会、WEB/SNS研究会を行っています
地域経済社会の発展に寄与すべく、組織を挙げて各種の事業を実施します。

経営課題を明確にした上で、ICTの活⽤を含めて総合的に経営課題を解決したい、既存のシステム活⽤がうまくいっていない、IT⼈材の育成をしたい等、IT経営に関することでお困りの⽅は、お気軽にお問合せ・ご相談ください。

会員情報
賛助会員情報
メールマガジン登録
お問い合わせ
itc_under_icon01
特定非営利活動法人ITコーディネータ京都

〒600-8813
京都市下京区中堂寺南町134番地
京都リサーチパークASTEM棟8階 8F06

© IT Coordinator Kyoto. All Rights Reserved.