予防だけで会社は守れない 謝罪で済む時代は終わった【デジタルネイティブと企業】
情報の漏えいが一旦発生すれば、信用失墜だけにとどまらず、株価の下落、記者会見、損害補償、システムの刷新に経費だけでなく、膨大な顧客への通知だけでも数億が飛ぶ場合もある。
企業にとっては、大きな脅威となるだけに、これまで情報漏えい・流出を防ぐため、ウイルス対策・ファイアオール、暗号化、PC管理などで、予防対策を強化してきた。
しかし、現状の事故や事件は、減ってはいない。
■現状のセキュリティ対策の限界
遠隔操作で企業情報データ削除システムを提供するワンビ株式会社 代表取締役社長 加藤 貴氏に、現在のセキュリティ対策について伺った。
加藤氏は、「国内の大手企業は、情報を守る予防対策は、だいたい整備が完了しています。こうした予防対策の整備は、2003年の個人情報保護法の設立がターニングポイントとなり、促進されました。
今では、企業内での、暗号化ソフトの導入や私的PC使用、チャットの禁止、ソフトインストール制限など、様々な予防対策が実施されています。」
個人情報保護法の設立により、5000件以上の個人情報を事業で利用している企業は個人情報取り扱い事業者とみなされます。個人情報取り扱い事業者とみなされた企業は、主務大臣への報告や改善処置を実施する責務が発生し、それを怠った倍は刑事罰が科されることになったからです。
こうして、企業の情報漏えい・流出対策は完備したと安心を得たといいます。しかし、今日、情報の漏えい・流出は無くなっていません。また、目に見えて減ってもいないという現実があります。
このことに対し、加藤氏はこう分析しています。
「企業が導入した予防対策が効果がなかったとは思っていません。法整備により、これまで氷山の一角しか報告されていなかった情報漏えいや流出が、黙認できなくなったことも、報告件数が減らなかった原因の一つでもあります。しかし、機械やシステムだけで行う予防対策では、人為ミスや悪意の行為まで防ぐことは無理だったのです。
つまり、予防対策を強化したことが、性善説に基づく予防対策の限界を明らかにしたともいえます。」
●仏作って魂入れず…効率と安全のバランス
また、加藤氏は、セキュリティ対策の稼働率や成果が上がりにくい問題点を指摘する。
「予防的なセキュリティ対策は、ユーザーに負荷を強いるシステムでもあります。より強固なセキュリティは、外部から進入に対して、手間のかかる環境を構築されることになります。これは、日常の業務に携わる社員にといって、不便さを強いることになります。業績・効率を上がなければならない業務と安全のために効率が落ちるというジレンマから、本来のセキュリティシステムが徹底されないという状況が生まれてしまいます。」
このほかにも、退職者が社内データを持ち出すケースも防止できていない現状もある。
加藤氏は、こうした状況を変えるには、ソフトウェア中心の予防対策だけでは、もはや不十分だという。
・退職時に会社のデータを持ち出す人は59% − @IT
■流出事故対応について
日本の情報管理の甘さは、日本人の国民性にも原因があると加藤氏は指摘する。
「島国で狭い領土であったことから日本では、仲間意識が強く、人や企業、形のないものを失う事件に慣用な性質があったと思います。厳しい言い方をしますと、情報流出しても謝ればすむといった意識や土壌があったのではないでしょうか。
そこに、個人情報保護法のように企業責任を明確に問う法対処が実施されたことで、予防に本格的に取り組むようになったと思います。
さらに、情報の漏えい・流出後の対応で、保証・会見(謝罪)・株価下落・告知費用などの経費で数千万以上となり、売り上げなどの実被害だけでなく、表に出ない経費という損害と企業ダメージが明らかになったことで、大きな問題となってきています。謝罪すればすむという時代では、なくなりつつあるのです。」
企業の予防対策が整備されたことで、次のステップへの対応が求められる転機を迎えているという。
■トラストデリート開発とワンビ設立について
加藤氏は、予防中心の対策での不十分さから、次の一歩を踏み出すため開発したのが「トラストデリート」だという。
トラストデリートは、もしパソコンが盗難や紛失しても、遠隔の自社サーバからパソコン内にデータを消去して情報を漏らさないシステムである。
●トラストデリート開発
トラストデリートの注目すべき点は、予防型の対策とは異なり、事故後に対処できる対策であることだ。
元々ウイルス対策関連業種に携わっていた加藤氏らは、既存のセキュリティシステムにはない新しいアイデアはいくつかあったそうだ。
折しも個人情報保護法制定後であったことから、企業の情報流出事故による謝罪会見に目にし、これまでにシステムでは、パソコンの持ち出しや会社への盗難事故は、防ぎきれないと認識し、流出するデータを人手に渡る前に消去することで守る仕組みを考え出したという。
当初、目指したのは、こうしたことだったという。
・他者が見えたときに認識できなくする
・漏れては困るデータだけを消せる(大事なデータだけを消す)
・盗難・紛失後でも消すデータを変更できる
日本では、仕事とプライベートの切り分けは難しいという社会性があるだけでなく、業務においても企業全体の情報と個人業務情報が混在しているのが現状だ。
個別環境にも対応できる柔軟なデータ消去システムを目指したそうだ。
●ひょうたんから駒のワンビ設立
トラストデリートが世に出る経緯は、ちょっと変わった流れで生み出されたと加藤氏は振り返ってくだれた。
2006年5月、加藤氏らの中でトラストデリートのアイデアはできあがったが、まだプログラムにも着手していない状態だったという。当時、たまたま加藤氏が、トラストデリートのアイデアをソフト販売会社に漏らしたところ、販売受注をもらってしまったという。
そこからは、もう作りあげるしかないと、一気に会社を設立し、パッケージ版をリリースすることになったという。パッケージ版は、7割セルアウトできたことで、自信を持ったという。
次のページでは、順風満帆とはいかなかったトラストデリートとワンビの落とし穴について伺った。
- 1