前回は、平成26年1月に東京地裁に出された個人情報漏えい事件の判決を参考に、情報を漏えいさせてしまった組織は、場合によって不法行為を問われ、損害賠償を請求される可能性があること、それを防ぐためには、組織が情報セキュリティに関する情報を日頃から収集・学習し、ITベンダからのセキュリティ対策提案等があったときには真摯に検討すべきであること、といったお話をしました。「不法行為」なんて言葉にはちょっと構えてしまいますが、常識といえば常識かなといったところでしょうか。
盗まれない努力と、盗まれたときの備えの両方が必要
しかし、そうは言っても、ITの技術が日進月歩であるのと同じく、他人の情報を盗み出してやろう、壊してやろうという輩の技術も日々進歩しています。世界中のITベンダやセキュリティ専門会社が、日々セキュリティソフトやツール、サービスを開発はしていますが、それらはほとんどが、既知の脅威に関するものですから、どうしたってこの争いはイタチゴッコになってしまいますし、おそらくセキュリティ侵害が完全になくなる日なんてものは、人類がITを使い続ける限りやってこないんでしょうね。
かの大盗賊の石川五右衛門を描いたお芝居で、五右衛門が豊臣秀吉に捕まって釜ゆでの刑に処されたときの台詞に、「浜の真砂は尽きるとも、世に盗人の種はつきまじ。」 というのがありますが、正にそんな感じでしょうか。
そうなってくると、組織や個人が自分の持つ情報のセキュリティを考えるときには、その防御策だけではなく、漏えいしてしまった場合には、とりあえずどうするか、ということを取り決めておく必要があります。実際には、情報はその内容や漏れかたによって、その後の対応も変わってきますので、十把一絡げに「漏れたらこうする!」と決めつけておくわけにもいきませんが、少なくとも、情報漏えいが発覚したときの初動くらいは組織内で定義して、メンバーに徹底し、必要なら訓練も行うべきでしょう。
全ての情報に同じ対策はナンセンス
ただ、実際にセキュリティ方針や漏洩時の対策を考える上において、すべての情報について一つのルールを設定したのでは、おそらく何もうまくいかないでしょう。昨今の企業は、多かれ少なかれ、ほかに開示できない情報というものを扱っています。社員や顧客の個人情報、営業機密、ある時期までは公開したくないニュース等色々です。私が以前にいた企業では、防衛機密、つまり戦闘機や戦車の設計に関する情報なんてものまで扱っていました。
これらの中には、当然、何が何でも漏らせない情報と、対策をきつくしすぎると仕事が回らなくなる情報が入り混じっています。個人情報を扱うなら、たとえそれがどんなに不便でも、インターネットに接続したサーバやパソコンには置けませんし、情報を保管しているサーバやパソコンには必ず複数名のログインで入るようにすると言ったことが必要になるのかもしれません。
しかし、一方で、たとえ機密情報でも、マルチロケーションで開発を行う際に設計情報を共有する場合なら、そこまで硬いセキュリティをかけてしまうと仕事がなりたちませんし、営業情報についても同じことが言えるでしょう。いくら安全に考慮が必要と言っても、あまりに生産性を落とすようなセキュリティは、やはり問題ですし、度が過ぎると皆がルールを無視して、もっとも危険な状態にもなります。
ですから、きちんと情報を守ろうとする組織は、必ずその情報の重要度、漏れた場合の危険度から情報を分類し、各々についてセキュリティはどうあるべきか、つまりセキュリティポリシーを定義しています。
つまり情報のトリアージです。自身がどのような情報を持っていて、それが漏えいしたらどんなことが起きるのか、そんなことを想定しながら情報を分類する訳です。たとえば、先ほどのような防衛機密情報なら、それこそ会社が潰れても守らなければなりません。
分類としては、最高ランクになり、会社を潰してでも守るべきとの考えの下、セキュリティポリシーを作ることが必要でしょう。逆に、何人かの社員の氏名だけが、どこかに公開されただけのように、「もうしわけありません」と頭を下げるだけで済む情報なら、ランクも最低レベルで、ポリシーもそれなりになります。
この記事は参考になりましたか?
- この記事の著者
-
細川義洋(ホソカワヨシヒロ)
ITプロセスコンサルタント東京地方裁判所 民事調停委員 IT専門委員1964年神奈川県横浜市生まれ。立教大学経済学部経済学科卒。大学を卒業後、日本電気ソフトウェア㈱ (現 NECソリューションイノベータ㈱)にて金融業向け情報システム及びネットワークシステムの開発・運用に従事した後、2005年より20...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
