情報セキュリティ対策を巡る諸課題 / 岩本 元

  多発する情報漏洩事故を防止するため、各企業・団体は様々な対策を実施していますが、それらが企業・団体の他の方策と衝突してあらたな課題を生むことがあります。

1. 情報セキュリティとITの利便性
 代表的なのは、情報セキュリティの強化がITの利用促進を阻害するケースです。
例えば、電子メールによる情報漏洩を防止するためには、社外電子メールのアカウントを必要最低限の利用者に付与すべきですが、その結果、電子メールの有効な活用シーンが抑えられる可能性が出てきます。
 また、携帯電話機の電話帳や発着信記録は個人情報であるため、携帯電話機を社外で紛失することは個人情報の漏洩事故として取り扱われます。その基本的な対策は、携帯電話機にダイヤルロックを掛けて電話機を拾得した人が情報を簡単に読み取れないようにすることです。しかし、携帯電話機を使用する都度、面倒なロック操作を行うことはその使い勝手を悪くします。
 モバイルパソコンを用いて顧客先でプレゼンテーションすることが流行っていますが、もしモバイルパソコンを紛失したら情報漏洩に至る可能性が大きくなります。情報セキュリティリスクを強調する一方で技術的な対策を打たないことで、営業担当者がモバイルパソコンを持ち歩かなくなってしまうことがあります。
 特に、これからITを積極的に導入していこうとする中小・中堅企業にとって、この課題をしっかり考慮しておかないと期待していたIT導入効果が得られない可能性が隠れています。

2. 情報セキュリティとプライバシー
 過失または故意のメール送信による情報漏洩を防止するには、社員が送信する電子メールの抜き取り検査が必要です。また、電子メールフィルタリングソフトと呼ばれるソフトウェアを用いれば、電子メールの本文と添付ファイルの内容を「顧客情報」のようなキーワードで検出して、不用意/不正な電子メールが社外に送信されるのを止めることができます。これらの対策は電子メールの私的利用の検出にも役立ちますが、プライバシーの侵害に問われることが考えられます。多くの法律家の見解では、企業が前もって(情報漏洩はもちろん)電子メールの私的利用の禁止を明示し、電子メールを監視していることを社員に告示している場合は、プライバシー侵害の責を負うことがありません。実際の判例では、告示していなかった場合にも企業側の勝訴となっています。

3. 情報セキュリティと労務管理など
 Winnyと呼ばれるファイル交換ソフトにウィルスが感染してパソコン内の情報が知らない内に公開されて情報漏洩に至る事件が頻発しています。パソコンに入っているのが個人的なデータだけならそれほど問題になりませんが、業務データを自宅のパソコンに保管していて、それが流出した際には大きな問題として報道されています。自宅のパソコンで仕事をすることを禁止することが根本的な対策ですが、それを徹底するには自宅で使用するモバイルパソコンを会社から貸し出すことも考える必要があります。ただし、このように自宅での業務を認めることは労務管理上問題があります。業務をいつ開始していつ終了したか、途中でどの程度休憩を取ったのかといったことを上司は把握できません。把握されないためにサービス労働となってしまう可能性もあります。解決策の1つは、業務量から時間が推定できる業務に限定して、モバイルパソコンの自宅使用を許可することです。
 別の対策として、個人所有のパソコンにWinnyをインストールさせない、個人所有のパソコンのウィルス対策ソフトを会社が支給するといったことが考えられます。ただし、前者には個人の資産への干渉、後者にはウィルス対策ソフトを社員の所得として計上しなければならないという課題があります。

4. 情報セキュリティと環境保護
 環境保護やコスト削減のために紙の裏面の再利用を促進する会社があります。もちろん、これは良いことなのですが、裏側に秘密情報が印刷されていることに気が付かずにそのままゴミ箱に捨ててしまったり、関係者外の人に渡してしまうことによって情報漏洩に繋がるリスクがあります。

5. 情報セキュリティとコスト削減
 そして、情報セキュリティと最も競合するのはコスト削減です。情報セキュリティ強化のための出費額は情報漏洩が発生した場合に想定される被害の大きさとバランスを取って決定されるべきですが、実際には被害額を算定することが難しいこと、情報セキュリティをどこまで強化すれば良いのか(いくら強化してもリスクはゼロにはなりません)が判りにくいという問題があります。
つまり、多くの企業に共通するコスト削減推進の流れの中で、情報セキュリティに関する費用対効果は経営者に対して説明しにくいという課題があります。実は、このことはIT導入の投資対効果についても言えます。情報セキュリティ強化の費用とITへの投資は戦略的に必要なものと捉える必要があります。

 今や、情報セキュリティの確保は重要であり、経営課題と言っても過言ではありません。企業・組織の情報セキュリティ担当部署には、上記のような課題に留意しながら、一歩ずつ情報セキュリティを強化していく責任があります。


■執筆者プロフィール
 ITコーディネーター
 情報処理技術者(システム監査、プロジェクトマネージャ)
 企業における情報セキュリティ対策・BPR・IT教育・ネットワーク構築のご支援

 お問合せ先:iwamoto.hajime@zeus.eonet.ne.jp