第13回 個人情報偏重の日本の漏えい対策、“機密”視点で考えるには?:日本型セキュリティの現実と理想(2/3 ページ)
前回はドラマでも人気の「下町ロケット」を題材に、日本の一般企業で機密情報の厳密な管理は行われていないことやその理由を考察してみた。今回は企業が機密情報の定義や管理をどうすべきかについて述べていく。
時間とともに価値が変わる機密情報
機密情報の漏えいを防ぐには、機密情報を「どのように定義するかのルールを決める」ことと、上記のような「情報の価値の変化に気づく仕組み」や、各種情報を管理して「定期的に現在の状況でどのくらい価値があるかを棚卸しする仕組み」が必要になる。
しかし、言うのは簡単だが行うとなったら。これがなかなか難しい。一番難しいのは、前回で述べたように、その情報の価値が変化してしまうことだ。その情報が具体的な利益を生むかどうかに気づいていなければ、管理もずさんになるだろう。情報を守るためのコストもかけられない。その逆に、重要だと思っていた情報が時間とともにすっかり価値が無くなってしまうこともあり得る。だから、機密情報の管理は難しい。
個人情報と異なる機密情報の管理
また、機密情報はその情報が発生した時点で、「守るべき情報か」どうかの定義が難しい。個人情報であれば、その個人を特定できる氏名、住所、年齢、生年月日、メールアドレスや電話番号などが含まれる情報と定義がはっきりしている。また、個人情報保護法には「特定の個人を識別できる情報」と定義もされている。つまり、個人情報は発生のタイミングから個人情報と定義される。
個人情報と異なり、企業の機密情報は時間の流れの中で価値が変わる。重要な技術情報やインサイダー情報などのように、一見して機密に該当しそうなものから、仕入先や販売先のリスト、仕入れ価格や販売価格、製品の設計図や時には販売マニュアルなどのような組織内では一定数流通している情報も、時と場合によっては十分に機密になり得る。逆に少し前まで機密だったものが陳腐化し、価値が無くなることもある。機密情報のやっかいな点は、この「価値が変化する」というところなのだ。
機密情報は、個人情報のような定まったものではないので管理がしにくい。個人情報と違って、その情報が本当に管理しなければならない内容のものであるかどうかを、定期的に棚卸ししなければならない。
セキュリティ対策が個人情報偏重になる理由
しかし一般の企業のセキュリティ対策をみると、本当に守るべき重要な機密情報を守らずに、個人情報の漏えいにそのリソースが偏重している場合が多い。その理由は個人情報の漏えいが非常に叩かれやすいからだろう。企業がミスをして情報漏えいすると、マスコミが面白おかしく取り上げ、そして、Webなどで叩かれる。経営者は記者会見で謝罪し、責任も取らされてしまう。日本の一般的な企業のセキュリティ対策が、個人情報漏えい対策一辺倒になっている理由がこれだ。
これは、責任者がひたすら「漏えいの責任」を取らないことだけを望むからである。個人情報は法律で定義されているし罰則規定もある。そして、個人に被害がおよぶので露見もしやすい。そのため、守っているというより法令順守や社会的責任から守らされていると言った方がいいのかもしれない。機密情報は、その組織にとってどんなに重要なものでも、誰かが定義しなければ機密になり得ない。つまり、定義しなければ一般に公表してよい情報となり「機密情報の漏えい」は起こり得ない。そのため、責任を取らなくて済むだけに、機密と定義しない方がむしろ好都合と言えなくもないのだ。
機密情報の漏えいは、鉄鋼業の例でも分かるように、表面化することはほとんどない。その方が、情報を盗んだ側にメリットがあるからだ。また、表面化したとしても非常に時間がかかる。つまり、機密情報はどれだけ盗まれても、その時点では誰も責任を取らない。発覚しても時間がかかり、その当時の経営者や責任者ではなくなる。責任は、後の世代が実質的に責任を取らされる。最悪の場合、競争力を失ったその組織の自体が世の中から消えてしまうだろう。
関連記事
- 第12回 「下町ロケット」で理解する機密情報の管理とは?
池井戸潤氏の直木賞受賞作品「下町ロケット」を原作としたドラマが大ヒットしている。ドラマでは「死蔵特許」という特許情報の位置づけや取り扱いと情報セキュリティにおける機密性が良く似ている。今回は情報の取扱いの重要性について「下町ロケット」を例にひも解く。 - 第11回 ファイアウォール今昔物語 標的型攻撃で花咲く次世代FW
仮に日本で標的型攻撃が起きなかったら、次世代ファイアウォールは世に出ず、ずっと“次世代”のままだっただろう。今回は次世代ファイアウォールの普及の道のりから日本のネットワークセキュリティ環境の遷移をひも解く。 - 第10回 ファイアウォール今昔物語 境界防御が生まれた日
ネットワークセキュリティの代名詞と言えるファイアウォール。ゲートウェイに防御壁を築いてネットワークの内側を安全にする「境界防御」の時代をもたらした。今回はファイアウォールの普及から現在に至る変遷を述べたい。 - 第9回 「進撃の巨人」で知るインシデント対応 CSIRTとSOCの本質とは?
「進撃の巨人」の世界では巨人の脅威に備える3種類の兵団がいる。現実世界でサイバー攻撃に立ち向かい、孤立無援のセキュリティから脱却するために欠かせないCSIRTやSOCとはどのような存在なのだろうか?
Copyright © ITmedia, Inc. All Rights Reserved.