法令や基準から考える情報漏えい対策の“勘所”：IT資産を守る根幹対策（1/2 ページ）

企業での情報漏えい事件が絶えない昨今、機密データをいかにして守るかが重要なテーマとなっている。今回は、企業を取り巻く法令やさまざまな基準からデータ保護への取り組みを再確認していこう。

[北原真之（日本PGP），ITmedia]

拡大する情報漏えいの脅威

　情報漏えい事件が相変わらず頻繁に発生し、その多さには驚くばかりです。「自分たちだけは大丈夫」という楽観主義は、もはや通用しないでしょう。システムがネットワークにつながり、PCがモバイルとなって利便性が高まれば高まるほど、情報漏えいの潜在的リスクが拡大します。特に2009年は、医療や公共機関においてPCやUSBメモリなどの盗難・紛失が原因となる事件が相次ぎました。

　日本ネットワークセキュリティ協会（JNSA）の「2008年 情報セキュリティインシデントに関する調査報告書」によると、2008年度の総漏えい人数は、723万人を超えました。100万人超の大規模な漏えい事件の減少により、2007年からは改善したとはいえ、依然大きな数字であることには間違いありません。

　このような事件の原因として、紛失、管理ミス、誤操作などの人為的ミスに加え、盗難や意図的な流出などの悪意によるものも相当な割合を占めます。改めて情報管理意識の低さが浮き彫りとなりました。

　情報漏えい事件は、相当な金銭的な賠償を伴う場合があります。JNSAが独自の計算方法で集計した2008年度の想定被害額は2360億円を超え、一件当たりの被害額も1億8000万円強となり、経営の根幹を揺るがす問題になりかねません。

　ご存知の読者も多いと思いますが、米国のカード決済代行会社であるTJXの事件では、カード会員データと個人情報が漏えいし、その影響は9400万人に及ぶとされました。VISAに対して、4100万ドル（約40億円相当）近い罰金を支払ったといわれています。

　情報漏えいは、このように金銭的な損害だけではなく、事件や事故を起こした企業に対するレピュテーション（社会的評価）を著しく損ねることになります。報道への対応、訴訟対策、再発防止への取り組みなど、その対応への手間に加え、社会的な信用の低下による株価の下落や取引の停止、顧客の不買などの被害も甚大なものとなることを覚悟しなければなりません。

　情報漏えいに対して、社会の意識はますます厳しい目を向け始めています。事件や事故が起きて、謝れば済むものではありません。むしろ、どれだけの対策をしていたかが、その後の企業活動に大きく影響します。もし適切な対策をしていなかったことが公にでもなれば、ネット中に批判が駆けめぐり、風評被害を爆発的に増幅させるでしょう。

情報漏えい対策に関係する法律や基準とは？

　このような事態を踏まえ、消費者の保護と情報セキュリティに対する意識を高め、その対策を促すために、法令や公的なガイドライン、認証基準が整備されつつあります。

　情報漏えいに関連するものだけで、新会社法や金融商品取引法（日本版SOX法）による内部統制とIT統制、個人情報保護法、これらの法律に関する経済産業省や厚生労働省のガイドライン、公認会計士協会による電子データの漏えいを防ぐセキュリティ指針、ほかにも不正アクセス禁止法や電子契約法など、多くの法令やガイドラインが対策を求めています。

　当然、法律への対応が不十分となれば、法律違反を問われることになるだけでなく、風評被害の拡大に拍車をかけることになり、企業経営上のリスクを背負うことを覚悟しなければなりません。

　法律の要請に応える形で、業界としての自主規制や公的な認証制度も普及し始めています。代表的なものとしては、「情報セキュリティマネジメントシステム」（ISMS）、「プライバシーマーク」（Pマーク）、「Payment Card Industry Data Security Standard」（PCI DSS）などがあります。（図1参照）

図1：情報セキュリィティに関する法律や基準

　特にPCI DSSは、クレジットカード業界およびクレジットカードで取引に関わる加盟店やECサイトに適用される基準として作られたものですが、極めて具体的な対策にまで踏み込んで規定しており、ISMSやPマーク以上に「どこまでやればいいのか」を明確に示している点で、これらを補完するものとして国内でも普及が始まっています。

　新会社法や日本版SOX法は、内部統制の運用を経営者の義務として明記しています。IT統制も内部統制の重要なコンポーネントとして定義されており、その対策を避けることはできないでしょう。