情報セキュリティはCSRである：情報セキュリティガバナンスを確立せよ（1）（1/2 ページ）

企業の情報セキュリティ戦略は、「情報セキュリティガバナンス」という概念に基づくべきだ。セキュリティコンサルタントとして、また数々の政府関連委員会で情報セキュリティガバナンスの確立に多くの実績を持つ大木栄二郎氏が、今回は社会的責任としての情報セキュリティを考える。

[大木栄二郎，IBMビジネスコンサルティングサービス チーフ・セキュリティ・ オフィサー]

　情報の重要度が高まり、企業活動の情報システムへの依存度が増す中で、企業経営にとって情報セキュリティが大事であることは多くの経営者に理解されるようになった。しかし、企業にとって、情報セキュリティがCSR（Corporate Social Responsibility：企業の社会的責任）であるといわれても、直ちには納得し難いとの受け止め方もある。情報セキュリティは社内でしっかりやっていればよい、外からとやかくいわれる筋合いではないと考えている経営者も多いのではないだろうか。この点から話を始めることにしよう。

事故前提への意識改革

　まずは、情報セキュリティにどう取り組むかについての基本的スタンスが大きな鍵を握る。そのヒントは2003年に経済産業省が発表した情報セキュリティ総合戦略にある。この報告書に示された戦略の第一番に掲げられているのが、「事故前提のしなやかな社会システムの実現」という考え方である。この「事故前提」という考え方が、企業の情報セキュリティにとっても重要な意味を持つ。

　日本企業のこれまでの伝統的な考え方は、おそらく読者の企業においても同じと思われるが、安全を前提としてきた。すなわち、現場でちゃんと対策をすれば事故は起きないはずで、事件や事故は起こしてはならない、あってはならないものであった。

　この考えでいけば、必然的に管理すべきなのは事件・事故が起きたかどうかであり、事故さえ起きなければよしとする考え方になる。このような考え方に立脚して情報セキュリティが確保できるのであれば、社会的責任としてとらえる前に、社内でしっかりやればよいとの議論にも納得できる。

　しかし残念ながら、現実の問題として、事故を絶対に起こさないと保証することは、大変に難しい。これは情報の価値が相対的に高まり、情報システムやネットワークの仕組みが格段に複雑化する中で、雇用形態が多様化し、企業間の業務相互依存の複雑化が進んできたことにも原因がある。しかし、いまさら元に戻ることはできないし、こうした実態は受け入れざるを得ない。

　現実に多くの企業で事件・事故が発生しており、すべての原因に完璧な手を打ってこれらを皆無にすることは事実上不可能である。日々報道される情報セキュリティの新たな事件・事故が、この現実を示している。

　すなわち、もはや安全を前提として考えることはできない。「事故前提」の考え方に立脚して、事故は起こり得るものとの前提に立ち、その予防策とともに、被害を最小化、局限化し、回復力の高い仕組み、すなわち、「しなやかな事故前提社会システム」を構築していくことに、基本のスタンスを変えなければならないのである。

セキュリティ対策と説明責任

　ひとたび事故前提という考え方を受け入れるとすると、もはや自社内だけでしっかりやればよいとはいっていられなくなる。事故が起きることを受け入れるということは、どのような事件・事故が起きかねないことを許容するのか、その事故が企業の内外にどのような影響を及ぼし得るのかなどを考えなくてはならない。安全が前提と考えた時代でも事故はあったのであり、そんなに大きな考え方の変化ではないと思う向きもあるかもしれないが、実はこれは大変に大きな、基本スタンスの変更なのである。

図1　事故前提社会への大きな意識改革が求められている

　予防策とともに、事故が起きることを前提として、被害を最小化、局限化するという方針を立てることになる。するとそれらの結果が顧客や取引先にどの程度の影響を与えることになるのか、対策のレベルが妥当であるのかなどを、顧客や取引先などの利害関係者に納得が得られる形で説明できなければならなくなる。いい方を変えると、リスクに応じた対策を計画し実施するプロセスに、合理性が求められることになる。企業の社会的存在としての説明責任が、情報セキュリティの面においても明確に求められる理由がここにある。

　企業が情報セキュリティに取り組む際の基本姿勢を、従来の安全を前提とした、社内に閉じた考え方から、事故を前提としたリスク対応の考え方に大きく切り替えていくことが求められている。これは必然的に、企業の情報セキュリティの確保が社会的責任でもあるという側面を強調することにもつながる。