2004年は、相次ぐ個人情報漏えい事件が世間を騒がせ、企業や自治体の個人情報保護に関する意識の低さを浮き彫りにする格好となった。2005年は、4月から個人情報保護法が施行されることから、企業にとって情報漏えい対策はもはや避けられない課題だ。エムオーテックスの高木哲男社長に、日本における情報保護の現状とその行方などについて語ってもらった。

ITmedia　2004年はどんな1年でしたか。

高木　ご存じのように、情報漏えい事件が相次いだ象徴的な1年だったといえます。それを反映して、当社の情報漏えい防止ツールである「LanScope Cat3」も、急速な勢いで企業や自治体、官公庁などに導入されています。その結果、2004年11月までの半期決算で、昨年の年間売り上げを突破してしまいました。

ITmedia　なぜ、2004年にこれだけの情報漏えい事件が表面化したのでしょうか。

高木　それにはいくつかの理由が考えられます。まず考えられるのは、パソコン利用に対するリテラシーが追いついていなかった、という問題です。もともとパソコンは高価なものであり、一部の人しか使うことが許されていませんでした。しかも、ハードディスクの容量は限られており、大量のデータを取り扱うといったこともありませんでした。ところが、近年パソコンの本体価格が非常に安くなり、パソコンの性能やインターネットの環境が整備されると、昔では考えられないほど多くのデータをパソコンでやり取りするようになりました。データの扱い方をしっかりと理解しているのならばいいのですが、会社にとって、どの情報が大切であり、大切でないかを理解できていない人たちもなかにはいます。それにも拘わらず、簡単に情報にアクセスできるようになっている。こんなに危険な状態はありません。それに経営者が気が付いていないことが問題であり、情報漏えい事件が起こるのも当たり前です。

ITmedia　それが一気に表面化したと？　

高木　もともと情報漏えい事件は起こっていたのです。例えば、地域で起こった情報を詳細に掲載する地方紙では、企業の情報漏えい事件は以前からかなり取り上げられていました。むしろ、中央紙がそうした問題を記事に掲載していなかっただけの話なのです。中央省庁のホームページが改ざんされる事件などが相次いでから、中央紙やテレビでも報道されるようになり、セキュリティ対策や情報漏えい事件の重大さをようやく認識するようになった、といえるのではないでしょうか。

一気に変化した経営者の意識

ITmedia　この1年で、企業経営者の情報管理に対する認識は変わりましたか。

高木　それは明らかに変わりましたね。先頃、大手企業の40%以上で、社員のメール内容を検閲しているという報道がありましたが、それだけをとらえても大きく変化したと思います。当社は、1992年に、まだインターネットが日本に本格普及する以前から、現在のインターネットセキュリティを見越した第1号製品を投入してきました。ところが、この10年間は、ログ管理の重要性を説明しても、多くの経営者が「社員のプライバシーを覗き見るようなことはできない」、「社員を信じていないことを証明するようなものだ」と言い、なかなかその重要性を理解してもらえませんでした。そんなものにお金をかけてまで導入する必要はない、という認識でしたよ。しかし、ここ1〜2年になって、そう言っていたはずの経営者たちが、自らログ管理の必要性を訴え始めました。ようやく、事の重大さに気が付き始めたんです。

ITmedia　やはり、きっかけは数々の情報漏えい事件だと？　

高木　その影響はかなり大きいですね。情報が万一漏えいしたときの損害額を認識するようになって、自社でも対策に乗り出さなくては、と慌て始めた経営者が多いようです。自治体や官公庁でも同様です。皮肉なことに、住基ネットで「安全です」と政府が宣言した翌日から、当社には自治体からの問い合わせが殺到しました。それまでLanScopeの出荷比率の10%程度に過ぎなかった官公庁、自治体向けの出荷が、今では34%にまで高まり、毎日必ずどこかの自治体に導入されるという状況が続いています。それともう1つ、見逃せない動きがあります。

ITmedia　それは何ですか。

高木　万全だと思っていたセキュリティ対策が、実はそれだけでは安全ではないことに気が付いたという点です。最近まで日本の企業の多くは、ファイアウォールとウイルス対策さえ行っていれば安全だと思っていました。ところが、米国での調査データによると、情報漏えいの約80％が内部からの漏えいだったという事実です。しかも、残りの20％を追跡調査したところ、そのうち18％がその会社を辞めた人だったり、その会社に働く恋人や知人を介して、情報を不正に入手したものでした。つまり、98％が内部からの情報漏えいであり、日本の企業が安全だと思っていた対策は、2％の効果しかないということが分かったのです。これも、経営者の意識変化とともに、当社製品が注目を集め始めた要因だといえます。

正しい人を評価するツールに

ITmedia　2005年4月からは個人情報保護法が施行されます。これによってどんな変化が起きそうですか？　

高木　情報管理に対する意識が、ますます高まってくるのは間違いないでしょう。それとともに、情報管理やネットワーク管理という言葉が、これまでの「コントロール」するという意味合いから、「マネジメント」していくというスタンスに変化していくと思います。現状をしっかりと把握し、これを分析して、対策を取るというサイクルを、多くの企業が取り組まざるを得なくなってきます。

情報漏えい対策として、「禁止ではなく、社員や企業の置かれた立場や現状をもとに、行動を抑止するツールが求められる」と語る高木氏

　しかし、何でもかんでも禁止してしまうのでは、企業の生産性は向上しません。管理ツールを何百万円、何千万円もかけて導入してみたものの、データをコピーすることができない、メールを送信できない、ホームページを見ることができないというのでは、何のためにお金をかけてITを入れたのかが分からなくなります。何でもかんでも禁止という発想でセキュリティ対策を行うのではなく、社員や企業の置かれた立場や現状をもとに、抑止する、つまりマネジメントできる管理ツールが求められるようになるでしょう。また、当社でも、中小企業のように専門のIT部門が存在しない企業や、ITのことがよくわからない経営者がひと目で自社のセキュリティレベルが判断できる「セキュリティ診断ツール」を用意し、どこに問題があるかも検出できるようにします。

ITmedia　エムオーテックスとしては、2005年はどんな年になりそうですか。

高木　2005年は、当社からもどんどん情報を発信をしていきたい思っています。これまでは、どちらかというと、受信型の経営体制を取っていました。しかし、昨年、LanScopeを導入していただいたユーザーを訪問して、ユーザーがどういう状況にあって、どんな情報を求めているのかを把握することができました。こうした経験をもとに、セキュリティを啓蒙するような情報を発信していきます。管理ツールは、悪いことをしている人を発見するツールであると見られがちですが、正しいことをしている人を正当に評価できるツールでもあるのです。そうしたツールとしても活用してもらいたいと思っています。

親しい友人と毎年恒例になっているゴルフを楽しむ予定という高木氏。「今年はゴルフに加えて、趣味のツーリングにもチャレンジしたいですね。ハーレーに乗って、紀伊半島をドライブしながら気分転換をするつもりです。」

［ITmedia］