とかく情報セキュリティが話題に上り、対策が進んだように見える2004年だが、情報セキュリティ補佐官を務める山口氏によると、その内実は「ひどい」一年だったという。「もうオレの役割はないな、暇だなと言えるようになればいいんだけれど……」と笑いを交えつつ、情報セキュリティを取り巻く課題を語ってもらった。

ITmedia　2004年を振り返ってみて印象に残ったことは？

山口　正直に言うと、技術発展に減速感を感じた一年でした。もっといろいろなチャレンジがあってもよかったんじゃないかなと感じています。生活が、あるいはオフィスや業務というものがどのように変わるのかという展開がどうも縮こまっているというか……サービスにしてもプロダクトにしても、ここ数年語られてきたものしか出てきていませんよね。

ITmedia　この萎縮の原因はどこにあるのでしょう。

山口　感性を磨いて、物事についての根源的な理解や体系的な知識をちゃんと獲得して、プロとしての仕事を見せてあげることが重要ではないでしょうか。技術って、人を感動させることができるじゃないですか。常に「人を感動させるものって何だろう」って、今までの延長線上ではなく、ステップアップして考えないといけないと思います。

恐怖感に追われ合理性なき対策に終始

ITmedia　セキュリティ分野ですが、個人情報保護法を機に注目が集まり、かなり進展がありましたね。

山口　いや、ぜんぜん。何がひどいかというと、個人情報保護法への取り組みが充実したと言われますが、民間側の取り組みは、ただ「危ないから」という「恐怖感」によるものにすぎません。セキュリティ原理主義的になっていて、投資やビジネスプロセスの面で合理性を持った対応にならないんです。煽ったメディアの側も、一歩踏み込んで、ではどういった方向に行くべきかといった議論がぜんぜん深まらないままに終わっています。その意味で、2004年の対応というのは非常に表面的なものだったと思っています。

ウイルスやスパム、フィッシング詐欺などが頻発する中、「デジタル社会でも通用する独立した、確立した『個』が増えていくよう、エンパワーメントしていきたい」と山口氏

　これはメディアだけでなく、合理性を持たずに対応している企業、ガイドラインを作っただけの行政も含めた皆の責任でしょう。個人情報保護法を契機に情報管理やセキュリティ管理に対する意識は高まったけれど、本来進むべき方向に向かっていないのは問題です。

　もう1つ言いたいのは、個人情報だけでなくいろんな意味でのセキュリティマネジメントが必要だということです。経営の一側面として、情報資産管理、セキュリティの強化、改善があるべきです。個人情報保護法の一環としてそういった部分が始まってきた点には希望が持てますが、難しい部分もあります。企業はここ10年間続いた不況の中で、徹底して経営の効率化に取り組んできました。そこにセキュリティを加えるとなると、投資を増やしたり、ビジネスプロセス自体を変える必要が出てきます。企業としてはこれまで乗り切ってきたプロセスを変えるのに恐怖感があるし、うまくやらなければ過小／過大投資になったりします。

　しかも、セキュリティや情報資産管理が大事なことは分かるけれど、手頃感がないんですよね。「ちゃんと動いて、そこそこ効果があって、安い」というものがない。マーケットとサプライヤーのニーズにミスマッチが生じています。これを業界としてもよく考えなくてはならないでしょう。ISMSやプライバシーマークの取得などで盛り上がっている今の状況を「特需」だとか言う人もいますが、そんなことを言っている間は、業界は成熟しません。

ITmedia　セキュリティが目的化してしまっているのは問題ということですね。

山口　今のセキュリティ業界は、危機感を煽る「狼が来るぞ」的なビジネスをやってますけど、それってやっぱりうさんくさい。セキュリティ単体ではなく、アウトソーシングの中で情報資産管理などとパッケージ化したり、ビジネスのコンサルテーションなどとセットにして値ごろ感を出さないと、消費者が付いてこれないんじゃないでしょうか。

ITmedia　情報セキュリティ補佐官への就任以来、「情報セキュリティ基本問題委員会」の設置や「国家情報セキュリティセンター（仮称）」の設置決定を含め、いろいろな取り組みを進めてきました。

山口　行政の分野においても、個人情報保護法がいろんな意味で契機になりました。民間と同じようなマインドで、情報管理への対応を取っていかなくてはならないということで、意識はずいぶん高くなっていますし、実際いろいろとがんばっていますよ。行政組織というのは、活動するに当たって民間からいろんな大事な情報を預かることになります。それを踏まえ、民間からの信頼に足りうる行政を実現するための取り組みが重要です。ただ、セキュリティは官だけではうまくいかない部分もあるので、うまく民の力を合わせて動いていければ、と思います。中核機能を担う国家情報セキュリティセンターも4月には動き始めます。今年もいろいろと発表していくことになると思います。

ITmedia　作業を進めている第二次提言の中では、重要インフラに対するセキュリティ対策も提示する予定ですね。

山口　これだけ情報通信インフラに依存した社会ってありませんよ。そう考えると、事業継続性やコンティンジェンシープラン、安定したサービスの提供といった言葉に代表される取り組みは不可欠です。いわゆるテロ対策という意味以上に、国民活動、わが国の活動を力強く支えていくための基盤としての役割を考えるべきで、その中にセキュリティが含まれるわけです。行政側もそういった意識を高めていければと思います。

ITmedia　取り組みを進める上での課題は？

山口　社会的なコンセンサスを定型化したものが「法律」ですが、ひとたび作ってしまうと、今度は社会とのギャップが生じてきてしまう。われわれは今、すごく変化の激しい空間にいますが、そこで法律と現状のミスマッチが生じ、うまく機能しなくなる可能性がある。そこでどうバランスをとるかをよく考えなくちゃいけません。

　情報セキュリティ政策会議（仮称）は、その中で知恵、英知を集め、方向性を機敏に導き出していく役割も担います。行政が激しい変化に付いていくための強力なエンジンにならなくてはと思っています。

　セキュリティとは現実を追求していくことだと僕は思います。理想も大事ですが、バランスをとりながら常に最適解を追求していくことです。それには、機動力や迅速な判断、「間違ったことはさっと間違ったと認める」といういい意味での朝令暮改が必要です。セキュリティとは、できていないことも含めて直視し、正直になり、それに対してソリューションを作ることであって、形を整えるためにやることじゃありません。そこの部分を履き違えるとおかしくなりますよね。

ITmedia　セキュリティ原理主義ゆえの弊害も生じています。

山口　確かにお金をかければ何とかなるけれど、問題は、それで幸せに仕事ができ、生活できるかどうかということです。中には、セキュリティ対策の結果ノートPCや携帯電話を持ち歩けないような状態になって、悲鳴を上げている人もいます。セキュリティがビジネスやさまざまな活動を壊している状況を放置していいのか？　ということです。

　僕は、セキュリティとは何かを禁止するものではなく、何かトラブルが生じたときのロスをいかに小さくするかがポイントだと思っています。つまり、僕らの活動を支え、安心していろいろな活動をできるようにしてくれるものだと思います。

　その意味で、感覚に基づく「安心」というキーワードと「安全」のギャップを埋めていくことが大事だと考えています。初めに、個人情報保護法への対応が進んでいるのは危機感ではなく「恐怖感」ゆえだと言いましたが、要するに「感覚」の問題になっていて、合理性に基づく検証ができてないんです。安心がないから安全じゃないと思われているのですが、そこで、安全、安心だとされるにはどうすればいいかを追求しなければならないと思います。技術としていかに安全を示し、安心を醸成させるかの取り組みについて、知恵を集めていく必要があるでしょう。

「うーん……ぜんぜん休んでなかったこともあって、正直、何も考えてない」と、2004年の多忙ぶりをうかがわせる返事。強いて挙げるとすれば「バックアップは定期的にとっているけれど、この期間にちょっと自分のPCの環境整備でもやろうかな」とのこと。

［ITmedia］

この企業の方針・戦略について
よく理解できた 理解できた あまり理解できなかった

この企業の製品・サービスについて（信頼性）
大変信頼している 信頼している あまり信頼していない

この企業の製品・サービスについて（興味・関心）
大変興味・関心がある 興味・関心がある あまり興味・関心がない