情報漏えいの抑止につなげる「マネジメントシステム」の意義：認証制度を活用したセキュリティ対策再チェック（1/2 ページ）

Pマーク制度やISMSで規定される「マネジメントシステム」。企業や組織での情報漏えい事故の多くが「管理ミス」によるものと言われる昨今、マネジメントシステムが果たす役割について再考してみよう。

[國谷武史，ITmedia]

　企業や組織で発生する情報セキュリティの事件や事故（セキュリティインシデント）のうち、情報漏えいは経営やビジネスに与える影響の大きさから、優先的に対処すべきリスクの1つに挙げられることが多い。情報漏えいを抑止するには、重要情報を組織として適切に管理・保護していくためのプラットフォームとなる仕組みが不可欠だ。

「管理ミス」が原因のトップ

　日本ネットワークセキュリティ協会（JNSA）が9月に発表した「2009年 情報セキュリティインシデントに関する調査報告書 第1.1版」によると、2009年に発生した個人情報の漏えいインシデントは過去最多の1539件（前年比166件増）だった。原因別に見ると、「管理ミス」が50.9％と全体の約半数を占め、「誤操作」（24.0％）や「紛失・置忘れ」（7.2％）がそれに続く。

　これらの原因はいずれも組織内部に起因するものであり、一見すると、企業や組織における情報管理意識が希薄化しているのではないかと推測される。だが、JNSAは情報漏えいが増えた理由として、現場からの報告や内部調査、内部監査といった組織的なチェックによって発覚したケースの増加を挙げている。情報管理に対する企業や組織内部の意識が希薄化しているというよりは、むしろ意識が高まりつつあるようすがうかがえる。

　企業や組織が積極的に情報管理の取り組みを始めたことで、これまで見過ごされてしまいがちだった情報管理の問題点が次々と顕在化し、その結果として情報漏えいインシデントの発生件数が過去最多になったと見ることができるだろう。JNSAは、内部統制やコンプライアンスに対する企業や組織の意識が以前にも増して浸透した結果だと分析している。

　情報漏えい原因の多くを占める「管理ミス」や「誤操作」「紛失・置忘れ」は、情報を取り扱う担当者のヒューマンエラーが大きく影響する。セキュリティに対する人間の意識やスキルが深く関係しているとされ、対策では担当者に対する教育や啓発に加えて、組織的な面からヒューマンエラーを減らす手順や現場体制の整備も重要になる。しかし、ヒューマンエラーを完全になくすことは不可能であり、実際の情報漏えい対策ではインシデントが万が一発生した場合の対処策も考慮しなくてはならない。

　情報漏えいのような複雑な対策が必要とされるセキュリティの課題を組織として実現する上で注目したいのが、セキュリティの認証制度で求められる「マネジメントシステム」である。