「その場しのぎの穴埋めでは力不足」――経営に結実しない日本企業の情報セキュリティ対策（2/2 ページ）

[藤村能光，ITmedia]

　日本ではどうか。2005年に施行された個人情報の保護に関する法律（個人情報保護法）によって、個人の情報セキュリティの意識は底上げされた。その動きが企業にも見られるようになってきた。衣川氏によると「企業が敏感になってきたのは、情報漏えいをメディアが大々的に取り上げたり、J-SOX法への対応が必要となってきた2007年ごろから」であるという。

　だが、肝心の対策は進んでいるとは言い難い。内閣官房情報セキュリティセンターが公表した資料によると、国内の企業で情報セキュリティ担当責任者を専任で設置している企業はわずか7％、情報セキュリティに強い人材を育成する計画がないと答えた企業は87％になることが分かった。日本は世界に比べて情報セキュリティへの意識が薄いことが明確になっている。

日本の企業では情報セキュリティの専任が圧倒的に少ない

　なぜ意識を高く保てないのか。衣川氏は「海外の企業は可用性を考える。一方、日本の企業は機密性を求める」ことが原因と分析する。

　海外企業は、事故を未然に防ぐように教育をして、従業員の意識を育てる。かたや日本企業は、起きた事故に対処をして、次は事故が起こらないように意識を改めるだけだという。日本企業は総じて受け身のセキュリティ対策から抜け出せてないと衣川氏は警鐘を鳴らす。

　こうした対策には手詰まり感があり、根本的な解決にはつながらない。衣川氏は「経営視点と倫理観を持ったプロフェッショナルの育成」が必要であると述べる。

　情報セキュリティを総合的に考え、経営層に政策を提言できる能力を持ったプロフェッショナル、障害が起こったときに適切な対応ができる専門家、高い倫理観を備えセキュリティを実践できる人材――が必要となっている。

　「コストは掛かるが、企業の価値を高めるためには情報セキュリティへの投資が必要。意識を持った人材を増やすことが大切」（衣川氏）