内部統制には情報セキュリティ対策が欠かせない、と言われている。確かに、情報セキュリティ対策をしっかり行うことは、コンプライアンスから見ても欠かせない重要な業務だ。しかし、現場では「どこまでやったらいいのかわからない」「既にウィルス対策と個人情報漏洩対策はある程度やっているのだが、これ以上なにが必要なのか」と混乱を招いている。(IT Compliance Review vol.7より転載)
パッチワークのセキュリティ対策の現状
個人情報保護法ができる、というニュースが流れて以降、各企業で試行前にはすべりこみ対策が行われた。この状況は今のJ‐SOX対策ブームと似ている。この頃から情報セキュリティ対策がなにやらおかしな方向に向き始めた。
個人情報漏洩の対策には情報資産の洗い出しが欠かせない、という確かに間違ってはいない作業が日本中で行われた。日本人は生真面目である。名刺の数やメールの数まで洗い出し、重要性や脅威から対策の重み付けを行った。そうこうしているうちに業務は変わり、部署も変更され人事異動も行われる。その度に同じ作業が延々と繰り返されている。
個人情報漏洩対策グッズとしての数々のソフトウェアやアプライアンス製品が世に溢れ、企業はこぞって購入した。同時に個人情報資産を守る対策が策定されてきたが、特に大企業と取引する中小企業においては、取引先の情報を漏洩すると取引停止になる、という言わば過敏な反応にも対応しなくてはならなくなった。
つまり個人情報だけでなく、取引先から受け取った図面などの資料やメールさえも管理しなければ、取引停止の経営リスクを抱えることがわかり、更に情報セキュリティ対策のルールや対策自体の現場は混乱し、ノートパソコンの持ち歩きが禁止され、営業マンの効率は落ち、自宅作業ができなくなり、企業によっては大きく生産性を落とすこととなった。
その「個人情報保護法対策」騒ぎが落ち着き始めた頃、J‐SOXに対応するという膨大な作業が生まれた。その一方で、J‐SOX対応とは情報セキュリティ対策がメインであるかのようなセミナーが各地で行われた。
そして現在、不正アクセス対策に始まり、パソコン関連のウィルス対策、サーバへのワーム対策、個人情報漏洩対策、機密情報漏洩対策、内部統制対策とその時その時の状況に応じてバラバラに対策が継ぎ足されている。その結果として、内部統制とは程遠い連携しない、情報セキュリティ対策ができあがってしまったのだ。
この記事は参考になりましたか?
- IT Compliance Reviewスペシャル連載記事一覧
- この記事の著者
-
三輪 信雄(ミワ ノブオ)
日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務める。
S&J株式会社 代表取締役※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
