「これからの企業情報セキュリティ」というテーマで、個人情報についてのセキュリティと、全般的な情報セキュリティの2つの視点からお話ししたいと思います。
企業秘密の種類
最近よく、企業秘密ということが言われていますが、企業秘密と言えば、新規事業計画や新製品開発、役員人事、企業合併、また取引のあるクライアントの顧客名簿や顧客データなどの営業上の情報、未公開の特許情報や技術情報は、すべて企業秘密として管理が必要な情報です。
一方、昨今マスコミ等でクローズアップされている個人情報ですが、企業秘密の中にはこうした個人情報の秘密性の高いものが、例えば顧客リスト(氏名、生年月日、住所、電話番号、信用情報等々)がある。そして、ある製品情報が漏れたことに比べて、個人情報が漏洩・流出すると、別次元の問題として大きく取り上げられます。
個人情報の漏洩と罰則
昨年4月に施行された『個人情報の保護に関する法律』で、この1年間は大騒ぎでした。個人情報の漏洩・流出についての罰則は一応ありますが、適用範囲の整備がまだまだ不十分です。早々に改定され、現状より厳しくなると思います。
現状の罰則は、例えばA企業が個人情報の漏洩事件を起こした場合、消費者からの苦情や訴えで役所がアクションを起こす。そして最初に勧告行う。勧告に従わないと改善命令になり、それでも改善がみられない場合、強制措置的な緊急命令となり、最終的には懲役6カ月ないし30万円以下の罰金です。
ただ、この辺の罰則が軽いかというと、事の重大さに比べると軽い気もしますが、実際にそこまで行くと、その会社の名前は報道で取り上げられ、社会的に相当な制裁を受けることになります。
プライバシーマーク制度
もう一つ、個人情報に関してはこの法律と関係の深い『プライバシーマーク制度』という審査制度があります。
これは個人情報保護JISQ15001に適合したコンプライアンス・プログラムを整備し、個人情報の取り扱いを適切に行っている事業者を、第三者機関である日本情報処理開発協会又はその指定機関が評価・認定し、その証としてプライバシーマークのロゴの使用を許諾する制度です。ただ、このJISQ15001は今年の5月末から6月ころに、2006年度版として改定が予定されています。
ところで、プライバシーマーク取得のための審査では、かなり細かな審査基準が決められていますが、個人情報保護法は法律です。必ず守らなければならない義務がありますから、私の個人的な印象としては、個人情報を扱っている事業者が無理なく守れるように多少緩やかになっています。それに比べてプライバシーマーク制度は任意ですから、個人情報保護法の管理レベルよりも若干高いところに基準が置かれています。
最近のプライバシーマークの影響について言えば、既に官庁の幾つかの入札参加条件の中に入ってきています。入札に参加する業者に対して、価格以外に、仕事の正確性とか機密性を測る物差しとして使われ始めております。個人情報の保護が、世界的な趨勢だという国際的な背景もありますが、確実に進んでおります。ISOほど認知度は高くありませんが、徐々にプライバシーマークを取得される会社がふえています。
ISMS認証制度
もう一つISMSですが、これもISOほどは知られていませんが、これは個人情報だけではなくて、情報セキュリティ全般にわたるマネジメントシステムの規格です。組織が保護すべき情報資産について、機密性、完全性、可用性をバランスよく維持改善するというもので、これも取得される会社がふえてきています。
ただ、ISMSについては、ISOの情報セキュリティのシステムとよく似ている部分があり、来年あたり統合される予定です。ですから今、ISMSを取得しようとされている会社は、少し様子をごらんになることをお勧めします。
情報セキュリティに関する各種認証制度
情報セキュリティの源流は、イギリスに端を発しています。BS規格(ブリティシュスタンダード)ですが、日本工業規格と同じようなものです。もともとBS7799という規格が(パート1、パート2の2つがある)、ISOになった際、電子工学とか電気工学の分野を対象としたもう一つの国際標準と規格が同一ということで、両方の名前を並べてISO/IECと表示しています
これが日本に導入されてJISX5080という規格になり、今、ISMSで使われている規格はこれが元になっています。ISOとの統合化が予定され、昨年の暮れISO/IEC27001という規格が発行されました。現状のISMSは、ISO/IEC27001がJISQ27001として翻訳が発行されてから18カ月後に統合されることになっています。
日本における情報セキュリティの認証制度の大きな2つの流れは、一つはプライバシーマーク、もう一つがISMSで、これがISO27001のシステムに統合されていきます。
これらは会社の組織運営のルール、仕組みづくりに関係した規定で、ISO9001とよく似た面があります。それに対してISO/IEC1540Sは、ソフトウェアとかハード機器といった製品に与えられる認証制度で、もう一つ、ISO/IECの13335は会社のセキュリティシステムに対する認証制度です。これがISMSとか27001と異なるのは、あくまでもIT分野に限定した認証制度ということです。
もし皆さんが、これから何かしらのセキュリティに取り組もうと考えられたときは、どこに向かって行けばよいのかというと、一般消費者の方との接点を多く持っている会社は、プライバシーマークが合っているでしょう。クライアントの企業情報を多く持っているとか、自社でオリジナルな製品開発するものが多いところは、ISOQ27001がよいと思います。おおまかにこういったことを念頭に置かれて、適切な会社の仕組みをつくっていただきたいと思います。
認証取得のための予算計画
プライバシーマークにしてもISOにしても、ご契約前に経営者の方にお目にかかりますと、よく皆さんから「全部で幾らかかるか」という質問を受けることが多いのです。審査費用とコンサルタント費用だけですと簡単に積算できますが、実際には、それぞれの会社の業態、規模等によって、格段に費用が違ってきます。
それから、外に出る費用のみでなく、何人かのスタッフを選んでプロジェクトチームをつくって取り組みますから、その人たちの人件費も予算に組み込み、コスト換算することをお奨めします。
さらに、審査を受けて認証を受けるこうした仕組みは、一回取って終わりではなく、定期的な間隔で審査を繰り返し受けなければなりません。プライバシーマーク制度の場合は、審査を受けて認定を取れば、2年サイクルで更新の審査を受けるだけでよいのですが、ISOの場合は、更新審査は3年目ですが、その中間でサーベイランスという維持審査があります。いずれにしても、その会社のセキュリティのウィークポイントの洗い出しをする、仕組みを維持し、継続的に改善するということが必要です。
こういったものすべてを含めて1年間でどのくらいの費用がかかるのか。年間の予算計画をつくって取り組まれるのが望ましいと思います。JIS規格では「経済的に実行可能な範囲内で技術的に最良のレベルのことをやってほしい」と言っているように、何も膨大なことをやるよう求めているわけではないのです。
会社存続のために、企業防衛のために、ある程度の時間を割いて勉強し仕組みをつくっていただきたい、これらはコストというよりも投資だと思います。
認証は安全の保証ではない
プライバシーマーク、ISMS、いずれを取得しても、やれば安全という保証はありません。「この会社は漏洩事件を未然に防ぐ仕組みを持っています」という、それに対する認証です。実際に、プライバシーマークを取得した会社が漏洩事件を起こしたケースもあります。
では、最初から何もやらないほうがいいかというとそうではなくて、自分たちでできる限りのことをやっていたが、事件が起きてしまったというのと、何もしていないで事件が起きたというのとでは、世間の見る目が全く異なると思います。人間がすることですから情報漏洩の危険をゼロにはできませんが、現状よりはよくすることはできるわけです。
自分の会社は大丈夫か、今、何をやるべきか。
どの業種に限らず、情報は企業の財産です。命だと思います。きょう私が皆さんにご提案したいのは、情報資産という考え方で、自社の情報資産をすべて洗い出してみていただきたいのです。
その中で資産価値のあるもの、平たく言えばお金になる情報がどのくらいあるのか、それらがどういう状態で置かれているのか、紙でキャビネットの中に入れてあるもの、パソコンのハードの中にあるもの、サーバーにあるもの、CDとかMOに落とし込んで引き出しに入れカギをかけてあるもの、机の上に出しっ放しのもの、それらのリスクも洗い出して、シミュレーションしてみていただきたいのです。
これがISMSの基本的な考え方なのです。リスクをゼロにすることはできませんが、効率よく管理をして、リスクを軽減することはできると思います。
そういったことで、もし何かお困りのことがあればご相談いただければ、多少なりともお手伝いさせていただきたいと思います。ありがとうございました。(拍手)
