エンタープライズ:ニュース 2003/06/23 18:26:00 更新


「セキュリティ事故は経営者の責任」と牧野弁護士

6月23日に行われたイージーシステムズジャパンの新製品発表の席で牧野二郎弁護士が講演を行い、「セキュリティ事故に関しては、経営者の責任を徹底して追求していくべきだ」との見方を示した。

 6月23日に行われたイージーシステムズジャパンの新製品発表の席で、日本弁護士連合会、情報特別委員会幹事を務める牧野二郎弁護士が講演を行い、「セキュリティ事故に関しては、経営者の責任を徹底して追求していくべきだ」との見方を示した。

 同氏はこの講演の中で、野放し状態で情報を安易に取り扱うのではなく、かといってがんじがらめに縛り付けるのでもなく、適切かつ効率的に情報を管理し、利用することの重要性を指摘。就業規則や秘密保持契約などを通じて情報管理を徹底するとともに、経営者レベルにとっても使いやすいシステムを活用し、データの保護やアクセス制御を図るべきだとした。

 従来、デジタル情報の取り扱いという意味で取り上げられる機会が多かったのはDRM(Ditital Rights Management)という視点だ。だが牧野氏は、これとともに、個人情報保護と業務情報(機密情報)の保護という観点も非常に重要だと主張する。

 特に個人情報保護に関しては、先日個人情報保護関連5法が成立したばかり。これに関して牧野氏は、「この法案は、個人情報を使うなと求めているのではなく、“この情報はこういった目的に利用する“という点で(情報を提供する顧客と)合意ができれば、それに沿って使ってもいいということを意図したもの」と述べる。さらにその前提として、データを何に利用し、誰に対して開示し、どのように管理するのかという事柄について明確に告知することが欠かせないと指摘した。

 ただ残念ながら、情報システムの構築などが元請から下請、さらには孫請へとアウトソーシングされる構造が存在している以上、情報漏洩の危険性は拭い去れないのも事実という。特に、万一の事故を考えれば逆に必須とされる「バックアップ用データ」をどう取り扱い、コントロールするかについては、いまだ正解がない状態だ。

 また機密情報に関しても問題がある。日本企業でトップダウン形式の意思決定がなされるケースはあまり多くない。たいていは下から「お伺い」という形で、つまり稟議が回りまわって情報が吸い上げられ、経営トップに至ってはじめて意思決定がなされる、というやり方がなされているだろう。ただこうなると、「新鮮かつ機密性の高い“生まれたての情報”をきちんと管理できているかが気にかかる」(牧野氏)。組織下部からトップに至るまでに多数の会議、多数の判断を要する組織構造では、その途中で情報が漏洩するのも当たり前だという。

 この問題を解決するには、組織として明確に情報管理および情報セキュリティ対策を取っていくしかない。ちなみに機密情報の漏洩に関して、外部に漏らした当の人物の責を問うためには、その情報が機密情報であり、取り扱いに注意を要する旨をきちんと示しておくことが不可欠だ。そうした告知を行っていなければ、逆に組織側に非があるとみなされるという。

 「3年前であれば、ウイルス対策ソフトを導入しておらず、他人にウイルスを撒き散らし、感染させた場合は、互いに過失があったとして五分五分とみなしていた。しかし今では、ウイルス対策ソフトを導入していないのは非常識と見なされる。セキュリティ全般でもこれは同じことだ」(牧野氏)。そして、誰がどのデータや情報にアクセスしてもいいのか、どのようにコントロールするかを判断せず、ルールの整備や適切な製品の導入といった必要な対策を取らない経営者は、株主に損害を与えるものであり、その責任を問われてしかるべきだと述べた。

関連記事
▼その個人情報は本当に必要か? アクセンチュアが語る個人情報保護対策
▼エンタープライズトップページへ
▼セキュリティチャンネル

関連リンク
▼牧野二郎氏のWebサイト(インターネットローヤー法律相談室)

[高橋睦美,ITmedia]



Special

- PR -

Special

- PR -