第13回 個人情報偏重の日本の漏えい対策、“機密”視点で考えるには？：日本型セキュリティの現実と理想（2/3 ページ）

[武田一城，ITmedia]

時間とともに価値が変わる機密情報

　機密情報の漏えいを防ぐには、機密情報を「どのように定義するかのルールを決める」ことと、上記のような「情報の価値の変化に気づく仕組み」や、各種情報を管理して「定期的に現在の状況でどのくらい価値があるかを棚卸しする仕組み」が必要になる。

　しかし、言うのは簡単だが行うとなったら。これがなかなか難しい。一番難しいのは、前回で述べたように、その情報の価値が変化してしまうことだ。その情報が具体的な利益を生むかどうかに気づいていなければ、管理もずさんになるだろう。情報を守るためのコストもかけられない。その逆に、重要だと思っていた情報が時間とともにすっかり価値が無くなってしまうこともあり得る。だから、機密情報の管理は難しい。

個人情報と異なる機密情報の管理

　また、機密情報はその情報が発生した時点で、「守るべき情報か」どうかの定義が難しい。個人情報であれば、その個人を特定できる氏名、住所、年齢、生年月日、メールアドレスや電話番号などが含まれる情報と定義がはっきりしている。また、個人情報保護法には「特定の個人を識別できる情報」と定義もされている。つまり、個人情報は発生のタイミングから個人情報と定義される。

　個人情報と異なり、企業の機密情報は時間の流れの中で価値が変わる。重要な技術情報やインサイダー情報などのように、一見して機密に該当しそうなものから、仕入先や販売先のリスト、仕入れ価格や販売価格、製品の設計図や時には販売マニュアルなどのような組織内では一定数流通している情報も、時と場合によっては十分に機密になり得る。逆に少し前まで機密だったものが陳腐化し、価値が無くなることもある。機密情報のやっかいな点は、この「価値が変化する」というところなのだ。

　機密情報は、個人情報のような定まったものではないので管理がしにくい。個人情報と違って、その情報が本当に管理しなければならない内容のものであるかどうかを、定期的に棚卸ししなければならない。

セキュリティ対策が個人情報偏重になる理由

　しかし一般の企業のセキュリティ対策をみると、本当に守るべき重要な機密情報を守らずに、個人情報の漏えいにそのリソースが偏重している場合が多い。その理由は個人情報の漏えいが非常に叩かれやすいからだろう。企業がミスをして情報漏えいすると、マスコミが面白おかしく取り上げ、そして、Webなどで叩かれる。経営者は記者会見で謝罪し、責任も取らされてしまう。日本の一般的な企業のセキュリティ対策が、個人情報漏えい対策一辺倒になっている理由がこれだ。

　これは、責任者がひたすら「漏えいの責任」を取らないことだけを望むからである。個人情報は法律で定義されているし罰則規定もある。そして、個人に被害がおよぶので露見もしやすい。そのため、守っているというより法令順守や社会的責任から守らされていると言った方がいいのかもしれない。機密情報は、その組織にとってどんなに重要なものでも、誰かが定義しなければ機密になり得ない。つまり、定義しなければ一般に公表してよい情報となり「機密情報の漏えい」は起こり得ない。そのため、責任を取らなくて済むだけに、機密と定義しない方がむしろ好都合と言えなくもないのだ。

機密情報の漏えいは、鉄鋼業の例でも分かるように、表面化することはほとんどない。その方が、情報を盗んだ側にメリットがあるからだ。また、表面化したとしても非常に時間がかかる。つまり、機密情報はどれだけ盗まれても、その時点では誰も責任を取らない。発覚しても時間がかかり、その当時の経営者や責任者ではなくなる。責任は、後の世代が実質的に責任を取らされる。最悪の場合、競争力を失ったその組織の自体が世の中から消えてしまうだろう。