実際、企業では情報漏えい対策はどの程度進んでいるのだろうか？

　経済産業省が今年3月に発表した「情報セキュリティ対策の取組状況に関するアンケート調査結果」では、情報セキュリティへの組織的な取り組みは、大企業と比較して中堅・中小企業がやや出遅れているように見える。一方、情報漏えいへの危機感については、中堅・中小企業でも約半数が大きな影響があると答えており、対策の必要性を感じ取っていることが見て取れる。

　中堅・中小企業が大企業に伍して生き残っていくためには、顧客に選ばれる特別な存在になる必要がある。しかも、選ばれたからといって安心はできない。情報漏えい事件が相次ぐ現在、顧客の企業を見る目は以前よりはるかに厳しくなっている。一旦情報漏えいなどの事件を起こしてしまえば、あっという間に顧客は離れてしまう。他に選択肢はいくらでもあるのだ。

　一方、B to Bの場合も、取引先が取引条件として、一定レベル以上のセキュリティ対策を要求することが珍しくなくなってきている。公共事業の入札などでも要件として求められており、セキュリティ対策の有無が直接ビジネスチャンスに関わり始めている。

　担当者の指揮のもと、守るべき情報の洗い出しを行う。法対象となる顧客リストなどの個人情報はもちろん、企業活動に必須の会計データや営業データなども含めたい。その際気をつけたいのが、今手元にあるから保存すると単純に考えないことだ。情報を守るためにはコストがかかる。そのコストをかけるだけの意味がある情報かどうかを検討し、その価値がないと判断したら、思い切って処分することが必要だ。同時に、個人情報の取り扱いに関する社内体制や業務フローを明記したプライバシーポリシーを自社の業務内容に照らし合わせて策定することが重要である。

　そして、プライバシーポリシーの策定と平行して、費用対効果を検討しながら情報漏えい対策を実施していく。先に述べたように、企業の信用やブランド力の向上に貢献する積極的な投資であることを踏まえた効果予測を考えたい。万一情報漏えいが起きたら、どの程度の損害が出るのかを直接的な補償や売上げ減など含めて試算することにより、どこまでコストをかけるべきかを検討するのもひとつの方法だろう。

　自社のどこが弱いのかを把握するためのセルフ診断ツールとして、「社団法人電子情報技術産業協会（JEITA）」が今年3月から中堅・中小企業を想定したアセスメントガイドの提供を開始している。これは、無料でダウンロードできるアセスメントシートであり、質問に回答していくことで、自社の対策を評価できるものだ。自社の進捗度を知る手がかりのひとつとして利用したい。

１．不正なアクセスをさせない
２．誰がどの情報にアクセスしたかを記録する
３．万一データが流出しても情報が漏えいしないようにする

などがある。これらの対策にはITの利用が効果的だ。

　１つめの対策としてはアクセス制御があり、部門や役職に合わせてアクセス可能な社内データの範囲を制限することができる。認証は基本はIDとパスワードを用いるが、生体認証など、より信頼性の高い方法を採用する企業が増えてきている。

　２つめの対策としては、ログ解析ツールがある。社員のファイルや外部記憶装置などへのアクセスログを取得し管理する。一歩進んで、外部記憶装置へのファイルの書き出しやプリント出力などを禁止できる製品もある。

　３つめの対策としては、暗号化が有効である。PCへのファイル保存時やメール送信時に暗号化を行うことによって、万一漏えいしても読み取れないようにすることが可能だ。

　このように、診断によって自社の弱みを把握し、適切なITを利用して確実な情報セキュリティ対策を施そう。次回は、富士通のエキスパートが情報セキュリティの最前線を語る。