エンタープライズ:ニュース 2003/06/04 08:23:00 更新


企業の情報漏洩を防ぐポイントは「心技体」

「情報セキュリティは心技体の三位一体」――ファイザー製薬でセキュリティ/情報漏洩対策に当たる矢坂徹氏はこう強調する。

 6月3日より「RSA Conference 2003 JAPAN」が開催されている。セッションの1つでは、ファイザー製薬の取締役(CIT アジアパシフィック担当)として同社の情報保護策に取り組んでいる矢坂徹氏が、自らの体験を踏まえ、セキュリティ意識を社内に根付かせていくことの重要性を説いた。

 「Mindという名のSecurity」と題したセッションの中で、矢坂氏は徹頭徹尾、次のことを強調した。「セキュリティや情報保護は、心技体の三位一体。つまり、個人のリテラシーとテクノロジー、そしてこれらを支えるプロセスや体制という3つの要素が重要だ」(同氏)。

 新薬開発に向けて積極的に研究開発が行われ、しのぎを削る製薬業界では、情報というものが非常に重みを持つ。もしその過程でデータが外に漏洩するようなことがあれば、被害は甚大だ。そのため、「企業として、社員1人1人が情報セキュリティを考えたうえでやっていかなければならない」(矢坂氏)。

 ただし、むやみやたらとルールをつくってがんじがらめにしても、うまくはいかないという。これは、同社での失敗を踏まえたうえでの教訓だ。「パスワードをこまめに更新するよう定めても、ユーザーは結局覚えきれないからポストイットに書き付けて貼ったり、他の人にパスワードを教えてしまったりする。また、うちだけかもしれないが、山のようにコピーを作成する人もいた」と矢坂氏。

 どれほどルールを作っても、個人のマインドセットがなければ無駄に終わる。紙にしても口頭の言葉にしても、電子媒体にしても、あらゆる情報が企業にとって大事だということを、潜在的に意識してもらわなければならないとした。

マインドセットの確立に注力

 ファイザー製薬ではこうした経験も踏まえ、1999年から情報漏洩を防ぐためのセキュリティ対策に取り組んできた。ISO(Information Security Officer)を配置した上で、各部署単位での情報の棚卸と分類、リスク分析を進めてきたという。その取り組みは2002年度末まで続けられた。

 「この中で、最も力を入れているのがマインドセットだ」(矢坂氏)。

 まず、16名の経営陣に対して、万一情報漏洩が起きた場合のリスクなどについて徹底的にトレーニングを行い、トップの意識から変えていった。一方で、各部門・部署ごとに兼任のCSOを任命し、現場を常に巻き込む体制を整備した。さらに、このCSOが定期的に集まって情報交換を行い、ベストプラクティスを共有するための場も設けたという。新人研修の中にセキュリティ教育を組み込んだほか、ノートPCを持って全国津々浦々をめぐる営業(MR)にも研修を行った。

 ありがちな方法でもあるが、ポスターなどを通じての意識啓発も行い、「自分たちが情報保護計画を実践し、運営しているのだという意識を持ってもらった」という。

 並行して、情報漏洩を防ぐための技術として「文書保管用ラック」や「メディアシュレッダー」を導入。もちろんセキュリティポリシーも、根本となるポリシーとガイドライン、各プロシージャという3層構造で策定し、適宜改定を加えながら運用している。

 矢坂氏は今後も、取り組みの手をゆるめるつもりはなさそうだ。これからの課題の1つは、「これまで、セキュリティはどうしても“べからず集”になりがちだった。しかし、個々の意識をもっと上げることで、“ビジネスマナー”として情報保護を行い、何をすべきか判断できるようにしたい」という。合わせて、廃棄処分にした不要な紙などをリサイクルし、目に見える何らかの形でコミュニティに貢献できるようにしていきたいとした。また、9月11日の連続テロをきっかけに、ビジネス継続やディザスタリカバリに対する意識の向上も図っているという。

 いずれにしても、「心技体の3つがあいまってはじめて、企業全体の情報漏洩を防ぐことができる」と矢坂氏は強調する。対策が成功するか失敗するか、その鍵を握るのは「人」だ。「技術も大事だけれど、それ以上に人材を育てることが大事。これがファイザーの教訓だ」と同氏は述べている。

 最後に矢坂氏は、1枚の布陣図が漏洩したことから桶狭間の戦いに敗れ、滅亡に至った戦国大名、今川家を例に取り、これは今の企業にも当てはまるとした。「たとえどんなに優秀な企業でも、ビジネス文書の漏洩をきっかけに経済の表舞台から消え去る可能性がある」(同氏)。そして、企業の1人1人がこうした意識を持つことが大事だとした。

関連記事
▼RSA Conference 2003レポート

関連リンク
▼ファイザー製薬
▼RSA Conference 2003 JAPAN

[ITmedia]



Special

- PR -

Special

- PR -