■情報セキュリティに関する社会情勢
大企業の多くは、平成17年4月の個人情報保護法の全面施行を契機として情報セキュリティの強化に取り組みました。その後、内部犯行による大量の顧客情報の流出、不正侵入によるインターネット公開ホームページの改ざん、自宅に持ち帰った業務情報が個人所有のパソコンからウィニーなどのファイル共有ソフトを介して流出といった、経営を直撃する事件が多発することによって、大企業にとって、情報セキュリティは経営課題の1つとなりました。また、会社法(平成18年5月施行)が定める内部統制により、大会社は子会社を含む企業グループ全体の情報セキュリティの維持・強化を求められ、金融商品取引法(平成19年9月施行)が定める内部統制により、上場企業は社員による財務諸表データの改ざんへの対策を中心とする情報セキュリティを求められています。
一方、中小・中堅企業は、個人情報保護法の主な対象である、個人データを5千件以上保有する会社であるケースが少なく、大会社の子会社を除けば会社法の対象ではなく、上場していなければ金融商品取引法の対象となりません。したがって、多くの中小・中堅企業にとって、情報セキュリティは優先度の低い課題として捉えられてきましたが、最近、その状況が変わりつつあります。
大企業の業務情報が、その業務委託先から漏えいする事件が増えています。内閣府の調査によると平成18年度の個人情報漏えい件数の約3割は委託先からの漏えいです。個人情報漏えい事件として有名な、ソフトバンクBBからの顧客情報450万件の漏えい、宇治市の住民情報22万件の漏えい、大日本印刷からの顧客情報863万件の漏えいは委託先社員によるものです。個人情報保護法では、委託先に預けた個人情報が漏えいした際には、委託元が監督責任を問われます。
また、部品や試作品の開発を委託した企業からメーカーの技術情報が漏えいすることによって、メーカーは年間数億円規模の損失を被っていると言われています。
◇内閣府「平成18年度 個人情報の保護に関する法律施行状況の概要」
http://www5.cao.go.jp/seikatsu/kojin/18-sekou.pdf
これまで大企業は、情報セキュリティに関する社内ルールの整備、社員の定期的な教育、ウィルス対策ソフトやICカードによるユーザー認証といった技術の導入、内部監査などを実施してきましたが、それらの対策の対象外である業務委託先から故意または過失による情報漏えいが相次いでいる状況です。したがって、大企業は、今後、業務委託先からの自社情報の漏えい対策に力を入れていくことになります。
経済産業省の個人情報保護法ガイドラインには、平成20年3月に改訂の際、業務委託先の監督方法として「委託先を適切に選定すること」「受託者との間で必要な契約を締結すること」「受託者における委託された個人データの取扱状況を把握すること」が明記されました。
災害対策、環境問題への取り組み、そして情報セキュリティの確保といったCSR(Corporate Social Responsibility:企業の社会的責任)の実施状況を委託先選定の基準とすることをCSR調達と呼びます。欧米企業の多くが、自社を守るためにCSR調達を実施しています。国内でも、富士ゼロックス、SONY、松下電器産業などCSR調達を導入する会社が増えています。
◇松下電器産業「購入先様へのお願い」:
http://panasonic.co.jp/procurement/procurement_0002_1.html
以上のように、経営課題として情報セキュリティに取り組んでいる企業が、取引先にも情報セキュリティの確保を求める傾向があります。そのような企業と取り引きするため、または取引先として選定されるためには、中堅・中小企業にとっても、情報セキュリティが重要な課題の1つとなるわけです。
■情報セキュリティ対策ベンチマーク
人・モノ・金・情報という経営資源の面で制約の強い中堅・中小企業にとって、大企業と同様の情報セキュリティ対策を実施することは困難です。したがって、まず、自社が実施すべき対策が何かを知ることが大切です。その手段として、経済産業省のIPA(情報処理推進機構)セキュリティセンターが提供している、情報セキュリティ対策ベンチマークを紹介します。
◇情報セキュリティ対策ベンチマーク:
http://www.ipa.go.jp/security/benchmark/
情報セキュリティ対策ベンチマーク(現在バージョン3)は、ホームページ上の質問に回答することで、自社の取組状況を30分程度で簡単に自己診断できるものです(無償)。具体的な手順は、以下のようになります。
(1)情報セキュリティの取組状況に関する25項目の質問に回答します。質問は、情報セキュリティに対する組織的な取り組み、物理的(建物や部屋の環境)セキュリティ上の施策、情報システムと通信ネットワークの運用管理、情報システムのアクセス制御および情報システムの開発・保守におけるセキュリティ対策、情報セキュリティ上の事故対応の5つの分野に分かれており、各質問に対しては、5段階の取組状況レベルから1つを選択して回答します。回答結果から、自社の取組状況の総合評価点数が計算されます。
(2)企業プロフィールに関する15項目の質問に回答します(従業員数、売上高、業種、重要情報の保有数、IT依存度など)。回答結果から、自社の情報セキュリティリスク(情報漏洩やシステム停止が発生する可能性と発生時の影響の大きさを加味した値)が計算されます。
評価対象会社は、計算した情報セキュリティリスクの値によって以下の3つのグループに分類されます。
・グループ1.高水準のセキュリティレベルが求められる会社
・グループ2.相応の水準のセキュリティレベルが望まれる会社
・グループ3.情報セキュリティ対策が喫緊の課題でない会社
(3)診断結果として、(1)で回答した25項目について、自社の取組レベルがレーダーチャートで表示されます。レーダーチャートには、望まれる取組レベル・取組レベルの平均も表示されるため、項目ごとに取組レベルが現在のままで良いか、強化する必要があるのかを判断できます。
レーダーチャートは、(2)で自社が分類されたグループ内の比較、同様の規模の会社との比較、同業種の会社との比較の3種類が表示されます。
(4)診断結果として、(1)で計算した総合評価点数を縦軸に、(2)で計算した情報セキュリティリスクを横軸に取った散布図が表示されます。散布図には、数千社のデータ(社名は未公開)も表示されるため、自社の状況を他社と比較できます。
(5)診断結果として、自社の取り組むべき情報セキュリティ対策が(割りと)詳細に表示されます。
(6)診断結果は、きれいに印刷できるPDFファイルのレポートとして出力されます。その活用方法として、自社のセキュリティ対策の実施、それに先駆けた経営者へのプレゼン、企業グループ内の共通の尺度とするなどの事例が紹介されています。
ただし、現在の情報セキュリティ対策ベンチマークでは、顧客・取引先から情報セキュリティを明確に求められている場合が考慮されていません。そのような場合には、顧客・取引先からの要求内容も加味して、より詳細に状況を確認し対策に反映させることが必要です。それには、社外の第三者による情報セキュリティ監査を受ける方法があります(有償)。
経済産業省は、情報セキュリティ監査の基準を定め、それに基づく監査を実施する企業・組織の台帳をまとめています(台帳登録は申告制)。また、ITコーディネータの中には情報セキュリティ分野の専門家がいますので、相談する手もあります。
◇情報セキュリティ監査企業台帳:
http://www.meti.go.jp/policy/netsecurity/is-kansa/index.html
このような、状況の確認と対策の策定(見直し)は、定期的に行う必要があります。すなわち、Plan(計画) ・Do(実施)・Check(確認)・Act(改善)のPDCAサイクルを1、2年の周期で繰り返すことになります。
■他のIPAセキュリティセンター事業
IPAセキュリティセンターは、安心できる情報化社会を実現を目的として、情報セキュリティ対策ベンチマーク以外にも、各種の情報提供やセミナー開催などを実施しています。ここでは、中堅・中小企業ですぐに役立ちそうなものをまとめてみました。
◇IPA情報セキュリティ読本(購入が必要)
http://www.ipa.go.jp/security/publications/dokuhon/
・情報セキュリティ対策のうち、主に情報システムに関する対策を広く解説
◇IPA対策のしおり(無償)
http://www.ipa.go.jp/security/antivirus/shiori.html
・ウイルス対策、スパイウェア対策、ボット対策、不正アクセス対策、情報漏えい対策の5つの基本対策について、非常に判りやすく説明
◇IPA情報セキュリティセミナー(無償)
http://www.ipa.go.jp/security/seminar/seminar.html
・平成20年度は6月から全国各地で開催予定
■執筆者プロフィール
岩本 元(いわもと はじめ)
ITコーディネーター、技術士(情報工学部門)
&情報処理技術者(システム監査、プロジェクトマネージャ他)
企業における情報セキュリティ対策・BPR・IT教育・ネットワーク構築の
ご支援