パッチワークのセキュリティ対策の現状
個人情報保護法ができる、というニュースが流れて以降、各企業で試行前にはすべりこみ対策が行われた。この状況は今のJ‐SOX対策ブームと似ている。この頃から情報セキュリティ対策がなにやらおかしな方向に向き始めた。
個人情報漏洩の対策には情報資産の洗い出しが欠かせない、という確かに間違ってはいない作業が日本中で行われた。日本人は生真面目である。名刺の数やメールの数まで洗い出し、重要性や脅威から対策の重み付けを行った。そうこうしているうちに業務は変わり、部署も変更され人事異動も行われる。その度に同じ作業が延々と繰り返されている。
個人情報漏洩対策グッズとしての数々のソフトウェアやアプライアンス製品が世に溢れ、企業はこぞって購入した。同時に個人情報資産を守る対策が策定されてきたが、特に大企業と取引する中小企業においては、取引先の情報を漏洩すると取引停止になる、という言わば過敏な反応にも対応しなくてはならなくなった。
つまり個人情報だけでなく、取引先から受け取った図面などの資料やメールさえも管理しなければ、取引停止の経営リスクを抱えることがわかり、更に情報セキュリティ対策のルールや対策自体の現場は混乱し、ノートパソコンの持ち歩きが禁止され、営業マンの効率は落ち、自宅作業ができなくなり、企業によっては大きく生産性を落とすこととなった。
その「個人情報保護法対策」騒ぎが落ち着き始めた頃、J‐SOXに対応するという膨大な作業が生まれた。その一方で、J‐SOX対応とは情報セキュリティ対策がメインであるかのようなセミナーが各地で行われた。
そして現在、不正アクセス対策に始まり、パソコン関連のウィルス対策、サーバへのワーム対策、個人情報漏洩対策、機密情報漏洩対策、内部統制対策とその時その時の状況に応じてバラバラに対策が継ぎ足されている。その結果として、内部統制とは程遠い連携しない、情報セキュリティ対策ができあがってしまったのだ。
