連載
» 2006年04月27日 12時00分 UPDATE

情報セキュリティガバナンスを確立せよ 番外編:Winny事故で問われる企業の情報管理能力 (1/2)

Winnyを介した情報漏えい事件の多発によって、企業の情報管理への姿勢が問われている。では、重要情報管理のための現実的な施策とは、どのようなものなのだろうか

[大木栄二郎,@IT]

 Winny(ウィニー)などのPtoPソフトにかかわる情報漏えいの報道が続いている。これらの報道を通して、企業の取り組みに2つの課題が見えてくる。

 1つは、PtoPソフトに対する基本的な姿勢であり、もう1つは、社員としての業務と個人の活動の境目にかかわる課題である。さらにこれらの課題の奥には、企業の情報管理に対する基本姿勢のあいまいさが潜んでいる。

PtoPソフトに対する企業の基本姿勢

 PtoPソフトの問題については、著作権侵害幇助(ほうじょ)にかかわる懸念がある一方で、むやみに禁止すると今後の技術の発展を阻害しかねない、あるいは個人の私生活まで会社が口出しすることになるなどさまざまな視点からの意見があり、これらのソフトに対して企業が明確な姿勢を打ち出していないことに、原因の一端がある。

 企業の情報セキュリティの確保は、企業を取り巻くさまざまな利害関係者に対し、情報にかかわるリスクの管理についての一貫した方針に基づいて説明できるものでなければならない。その意味で、企業の貴重な経営資源である情報を取り扱うあらゆる場所において、企業の経営意思に基づく情報セキュリティ管理が行き届かなければならない。社員が会社の情報を持ち帰って自宅のPCで仕事をする場合も、会社としての情報セキュリティ施策の管理下に置かれなければならないのは当然の帰結である。

 そのためには、PtoPの本質を見極めたうえで、企業としての立場からの明確な基本姿勢をはっきりと打ち出す必要がある。

 PtoPソフトの基本的な特徴は、制御する中央を必要としない、まさにPeerからPeerへの直接通信にある。この特徴を情報管理の側面からとらえると、これまでのサーバにおけるオーナー、サプライヤ、ユーザーの三者関係での情報管理の枠組みのすべてを、ユーザー1人でこなさなければならないことになる。これは、ユーザーの管理責任が極めて大きくなる構造である。

P2Pではユーザーに情報管理責任がのしかかる 図1 P2Pではユーザーに情報管理責任がのしかかる

 企業は、これまでサーバ管理の集中化・専門化などに取り組んできた。しかし、その重荷を一挙に個々のユーザーにまで求めることになるのが、情報管理面からのPtoPの本質である。例えていえば、これまでは飛行機の乗客でよかった利用者が、いきなりコックピットに座らされたのと同然の、劇的変化があると考えなければならない。

 果たして、いまのPtoPソフトに、操縦経験のないユーザーが情報管理の気流を乗り越えていけるだけの機能が備わっているといえるのであろうか。技術はそこまで成熟しているといえるのか。残念ながら、いまの段階では「答えはノー」といわざるを得ない。

 企業として、自社の貴重な経営資源である情報をそのような不安定な飛行状態に委ねるわけにはいかないという明確な意思表示をしなければならない。少なくとも、個々人が負うべき情報管理の責任を全うできるだけの技術的・機能的な裏付けと、運用面からの検証がない限り、PtoPの業務使用を認めないという意思表示が求められる。

企業のセキュリティ施策と社員のワークスタイル

 もう1つの大きなポイントは、企業は社員個人の活動のどこまで口出しをするのかという課題である。ほとんどのPtoPにかかわる情報漏えいは、社員の個人所有のPCで起きている。この問題を解きほぐすには、これからの企業における、社員のワークスタイルを考察しなければならない。

 企業の組織は、これまでの縦型の固定的な構造を残しつつ、実質の業務はプロジェクトごとに編成されるチームなどダイナミックでフラットな構造で実施されるなど、大きな変革期にあるといえよう。これらの柔軟なチーム構造でメンバー間の重要な情報の交換・共有が日常化し、個人のレベルでは、裁量労働制、ホームオフィスやサテライトオフィスでの勤務、オフィスのペーパーレス化など、社員の仕事環境は大きく変わってきる。

 情報通信技術の発展は、企業のビジネスマンに高い生産性と生活のゆとりや柔軟性をもたらす新たなワークスタイルを可能にしつつある。そこには、必然的に、社員としての行動と個人としての行動の境目が交錯し、情報管理の観点から見過ごせないリスクが浮かび上がっているのも事実である。

 個人生活と業務との境目を明確化する努力、自由なワークスタイルを享受できるための条件整備、個人の自己管理にゆだねるうえでの倫理的歯止め、会社の上司が取るべき現実的な管理手法や何かあったときの原因究明の方法、これらを支える技術、などさまざまな課題に取り組んでいかなければならない。

 一方で、社員個人から見ると、個人生活と仕事とのバランスや柔軟な行動の裏には、高い倫理観や会社への忠誠心がなければならず、より広くプロフェッショナルとしての使命感や社会への責任感などに支えられる、まさにプロとしての仕事の仕方が求められてくることになる。

 このような新たなワークスタイルの成果を十分に発揮するには、情報管理の基本がしっかりしていなければならないことは疑いの余地がない。会社が個人にこのような仕事の仕方をしてもらうには、どんな環境整備が求められるのか、そこでの情報管理はいかにあるべきか、どんな責任分担が求められるか、個人に任せるべきものと会社が押さえておくべきことをどう整理するかなどの課題がある。

 情報漏えいを恐れるあまり、ただ単に持ち出し・持ち込み禁止など社員の行動を縛るやり方に短絡的に走るのは考えものである。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ