McAfee調査から：データ保護は“内向き”志向、日本のCIO意識

　米McAfeeが1月29日に公表した企業の重要情報の保存や流出に関する調査リポートで、国内のCIOが持つデータ保護に対する意識が他国の企業とは異なる傾向にあることがうかがえるという。調査に携わった上級副社長のロバート・ハンフリー氏や情報セキュリティ大学院大学の内田勝也教授が詳細を解説した。

　この調査は、米国と英国、ドイツ、日本、中国、インド、ブラジル、ドバイで従業員500人以上の企業のCIO約800人を対象に、知的財産など重要情報の保管、移動、流出などの状況について尋ねたもの。1カ国当たり約100人から回答を得た。

　対象企業から流出した知的財産情報は推定46億ドルで、世界全体の推定被害額は1兆ドルを超すという（注：対象企業の被害額を基に世界全体の従業500人以上の企業の数を掛け合わせて算出）。修復費用は対象企業全体で約6億ドルだった。データ流出の報告件数は、2004年に比べて17倍に増加したという。

　回答者の42％は、最も警戒するデータの流出元に業績悪化などで解雇した従業員を挙げた。取引先企業や協力会社といった外部関係者を最も警戒するとしたのは、日本（70％）と中国（56％）だった。

「インドには情報流出に対する厳しい法規制があるが、実効性に疑問を感じるCIOが多数いるなど、日本以外にも地域別の特徴が表れた」というハンフリー氏

　重要情報を自国で保管しているという回答は平均で39％だったが、日本は97％だった。また、情報セキュリティ監査による外部からの指摘に対応する企業は平均で60％だったが、日本は25％だった。セキュリティ対策を実施する理由として、日本と英国の多数のCIOが「ネガティブな評判や世間体から会社を保護するため」としたのに対し、ほかの6カ国では「自社の利益や価値を保護するため」という回答が目立った。

　こうした傾向について、ハンフリー氏は「日本は海外への業務アウトソースが他国よりも少なく、国内および組織内のリスクを重視するようだ」と分析。内田氏は、「日本では情報セキュリティと言えば顧客情報の保護をイメージする傾向が強い。実際にはアイデアやブランドといった物に置き換えることのできない資産にも注目すべきだ」と指摘した。

「日本企業は財務やコンプライアンス、製造品質、物理犯罪といった各種リスクに縦割りでバラバラに対処している」と指摘する内田氏

　調査を取りまとめた米パデュー大学のユージン・スパフォード教授は、「企業は情報資産の重要性を過小評価している。世界同時不況が進行すれば、情報リスクが一層高まるだろう」と報告書の中で述べた。

　データ保護を始めとする企業のリスク対策について、「災害復旧や物理セキュリティ、情報セキュリティの各種対策を束ねる役割として“CRO”（最高リスク管理責任者）を設置すべき。米国でも設置を進める企業が増えつつあり、経営レベルで対応する環境作りに目を向けてほしい」と話している。

過去のセキュリティニュース一覧はこちら