第12回 「下町ロケット」で理解する機密情報の管理とは？：日本型セキュリティの現実と理想（2/2 ページ）

[武田一城，ITmedia]

機密情報を定義できない日本企業

　私は、普段セキュリティ製品などのマーケティングを担当している関係で、エンドユーザーにヒアリングや提案をする機会がある。しかし、何が自社の機密情報であるかを把握し、その情報の管理ルールを策定して定期的に機密情報のランク付けを見直し、厳重に管理しているというようなところは、ほとんど見られない。いくつかの会社で情報保護の方針や管理方法が「すごい」と感じたこともあるが、誰もがその名を知っているグローバルに活躍している企業ばかりだ。

　こうしたグローバル企業とは対照的に、上に記載したように一般的な日本の企業は機密情報を定義できていないと感じる。自社にある多くの情報の中のどこに機密情報があるのかさえも把握できていないのが現状だ。機密情報がきちんと管理されているというのは非常に例外的で、その例外的なケースがグローバル企業というわけだが、グローバル企業としても今までに海外でいろいろな苦い経験をし、揉まれた結果の産物として機密情報を守れるようになったのだと思われる。

　私の知る限り、日本において守るべき機密情報を定義した上で重点的に管理するというコンセプトの製品やソリューションが市場に認知されるレベルで普及したことは無い。その昔、私はDLP（Data Loss Prevention）というカテゴリに属する製品のスタートアップに少し携わったが、事前の提案でメリットがそれなりに受け入れられても、実際の導入検討において企業や組織内で「機密情報はどこにあるか？」「機密情報の管理をどうするのか？」という話が始まると急に商談が止まってしまう。その後も機密情報の定義が必要な製品をいくつも見てきたが、やはり日本市場では鬼門のような存在なのか、どの製品も売れ行きは芳しくないようだ。

　守りたいはずの機密情報が何であるかを特定できないということは、結局のところ、守りたいものが無いのと同義だ。だから情報漏えい対策となると、法律で罰則のある個人情報ばかりが対象になってしまう。顧客情報はもちろん大事だが、その企業の存在価値自体に直結する機密情報は顧客情報だけでは無いだろう。例えば、研究開発に多くのコストをかけている企業でも、せっかくの成果のほとんどが流出し、それに気づかず事実上競合他社へ技術情報を提供するために研究を継続するような悲惨な状況にもなり得るのだ。

　「下町ロケット」の死蔵特許のように、機密情報はその価値に気づきにくい。情報の生まれた瞬間とその後の価値が、世の中の情勢の変化などでも大きく変わってしまいので、管理自体が非常に難しいともと思われる。次回はこの機密情報の管理の方法について説明したい。

武田一城（たけだ かずしろ）　株式会社日立ソリューションズ

1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

• TechTarget連載：今、理解しておきたい「学校IT化の現実」／失敗しない「学校IT製品」の選び方
• 著書「内部不正対策 14の論点」（共著、JNSA／組織で働く人間が引き起こす不正・事項対応WG）