| エンタープライズ:ニュース | 2003/06/13 23:31:00 更新 |
その個人情報は本当に必要か? アクセンチュアが語る個人情報保護対策
5月23日、個人情報保護関連5法が成立した。これにともない企業には、個人情報の適切な取り扱いが求められることになるが、具体的にどんな取り組みが必要なのだろうか?
5月23日、参院本会議での可決を経て個人情報保護関連5法が成立した。一部にはあいまいな内容が残り、引き続き注視していく必要があるだろう。それでもこれでようやく、個人情報は適正な取り扱いが図られなければならない旨が明確に定められたことになる。
具体的には、個人情報を収集・利用する企業には、利用目的の特定と通知・公表、安全管理措置、第3者に対する提供の制限、本人の要求に応じた情報開示などが義務付けられる。これにともない多くの企業では、個人情報の取り扱いに関する規定とプロセス、体制の整備、見直しが求められることになるだろう。同時に、個人情報保護と密接な関わりを持つセキュリティ対策にも、プライバシーや個人情報保護という観点を加味して再検討する必要が出てくる。
こうした背景を踏まえてアクセンチュアは先日、報道陣を対象とした説明会を開催。この中で、同社先端技術グループ、マネジャーを務める武田圭史氏は、個人情報保護コンプライアンス(準拠規定)と、それに沿った対策の必要性を説いた。
同氏の説明をまとめると、これまで発生した個人情報漏洩事件の背景には、大きく2つの要因があるといえそうだ。
1つは、組織の個人情報保護に対する認識の甘さや管理体制の不備だ。社員1人1人が取り扱う情報の重要性を認識していないがために、安易に情報が集められ、しかもそれらの保護措置が取られていないという。従業員の意識やモラルの低さから、内部から情報が漏洩してしまうケースまである。これには、組織として個人情報保護に対する統一的な基準を示し、それを周知徹底するとともに、この基準に基づいた管理体制やルールを定めていく必要がある。
2つめは、開発システムそのものの欠陥である。そもそも、システム開発の土台となる要件や設計からして、セキュリティおよび個人情報保護という観点が欠けていることが多い。したがって、開発を受ける側、委託する側ともに、個人情報保護を念頭に置いた要件を明確化し、出来上がったシステムがそれらを満たしていることを保証するような仕組みが必要という。
武田氏はこうした状況を踏まえたうえで、プロセスとシステムの両面で、個人情報――実際には個人情報が何かという定義にも揺れがあるが――の保護に向けた、継続的な取り組みが必要だとした。個人情報保護ポリシー(プライバシーポリシー)の明確化と教育を通じて個々の意識を高めていくと同時に、手順やシステム的な対策を講じ、情報漏洩を困難にするような仕組みを作り上げていくことがポイントだ。これは、個人情報保護という目的を達成すると同時に、社員の保護にもつながるという。
合わせて情報セキュリティ対策についても、個人情報保護の観点から必要な対策を洗い出し、再構築すべきという。
武田氏はもう1つ、興味深い指摘を行っている。「中には、特に明確な目的もないままに個人情報を収集しているケースもある。しかし、企業が個人情報を保有するということは、1つのリスクでもあり、不要な情報まで保有するのはリスクを高めることだ。“本当にその個人情報は必要なのか”といったところに立ち戻って見直す必要がある」(同氏)。まず、組織内にどういった個人情報があるかを洗い出し、必要なものをラベル付けしていく作業が不可欠だとした。
セキュリティも投資の1つ
武田氏は同時に、一連の取り組みにおいては、ROI、つまり明確な投資対効果を頭に入れておくことも重要だと述べている。
昨今の厳しい経済状況では、ITバブル期のように安易なIT投資は許されない。大半の企業では、どれだけのリターンが見込めるのかを念頭に置き、ROIを計算した上で、高い効果が期待できるシステムから戦略的に導入しているはずだ。そして、従来あまり意識されることのなかった情報セキュリティ対策についても、同じことが言えるというのがアクセンチュアの見方である。
その指標として同社が打ち出しているのが、ROSI(Return On Security Investment)だ。この指標を活用することによって、個別の問題に対する場当たり的な対応を脱し、コスト効果に優れたセキュリティ対策を実現できるという。
もっとも、1つの計算式でROSIをはじき出すことはできない。そもそも情報セキュリティ対策というもの自体、企業それぞれの考え方や状況、環境によって異なるものであり、ケースバイケースでしか効果を試算することはできない。それでも、複数の評価手法を組み合わせながらROSIを分析することで、コスト的にもセキュリティ強度的にも適切な対策を取る手助けにできるという。
武田氏によると、最近の開発案件では、「ほぼ100%にセキュリティ要件が含まれている」という。しかしながら、「数年前のシステムの場合、そもそもセキュリティに関する規定がないものも多い」(同氏)。やはり、システム設計段階からセキュリティを考慮し、はじめからセキュリティホールを生み出さないような開発を心がけることが重要という。
とはいえシステム開発時には、セキュリティや個人情報保護のための要件と、他の機能要件やコスト、納期といった要素がぶつかることもあるだろう。ましてやROIという視点を取り込むならば、セキュリティ対策には目をつぶりたくなることもあるはずだ。
もしこうした二律背反が生じ、開発を依頼した顧客から「セキュリティよりも納期を(あるいはコストを)優先してくれ」と要求された場合、コンサルタントとしてはどう対応するのだろうか? 「納期を守りつつ、セキュアなシステムを提供する」と武田氏は述べている。現実を考えればこれらの両立は困難かもしれないが、それでもあらゆる開発現場でそうであってほしいと願わずにはいられない。
関連記事
エンタープライズトップページへ関連リンク
アクセンチュア[高橋睦美,ITmedia]
