ITmedia NEWS >
コラム
» 2005年01月28日 02時00分 公開

情報活用と情報管理(前)特集:インフォメーションガバナンス(情報統治)

リスクは企業活動につきものである。相応のリスクをとり、これをマネジメントしていくことで経営は成り立つ。これを情報セキュリティマネジメントに当てはめると、企業に求められるものが情報セキュリティリスクへの防御だけではないことが浮かび上がってくる。このことについて情報セキュリティが対象とする「情報」に注目しながら整理していく。

[池田泰徳,野村総合研究所]

リスクマネジメントと情報

 リスクマネジメントは経営そのものである。一般に、リスクをとらない以上リターンも見込めないというのが習わしだ。企業価値の最大化と利益の創出というリターンを求める企業経営において投資はリスクであるし、多くの従業員を抱えることもまた、リスクである。

 しかし、従業員を組織し、合理的な投資を行っていかなくては企業の発展は見込めないのであり、リスクをマネジメントしていくことなくして企業経営は成り立たないのである。

 今日、情報の取り扱いに関するリスクは、企業が直面する重大な問題のひとつとして強く認識されるようになっている。

 世の中を騒がしている個人情報の漏えいは、見舞金、訴訟費用、広報費用、株価・格付けの下落といった、直接的コストを発生させるだけではない。カスタマーロイヤリティの失墜など、大きな痛手となって、長期にわたり企業に跳ね返る。

 個人情報を例にとっただけでも、その取り扱い如何によって損失を招くことは明らかであるが、技術情報、合併や買収に関する情報なども、ひとたび漏えいや改ざんに遭えば、多大な損失をこうむることになる。こうした問題は、企業が扱う他の多くの情報にも共通である。

 情報の取り扱いが企業の対峙するリスクのひとつであるからには、それへの対処についてもリスクマネジメントの枠組みで考えていくことが基本となる。

 情報セキュリティマネジメントでは、企業の経営方針やセキュリティに関する基本方針に基づき、まず対象となる情報資産の洗い出しとリスクの評価を行う。その上で、対策内容を決定し、それぞれの対策を実施。その後、内部者による評価や時には外部からの監査を受け、問題点を明らかにする。そして、それを元に作成された改善案を用いて、再び情報資産の見直しから始まるマネジメントサイクルを継続運用していくことで、情報セキュリティ対策を網羅的で質の高いものにできる。

リスクコントロールとリスクファイナンス

 リスク対策の実施には、リスクコントロールとリスクファイナンスがある。

 まず、リスクコントロールはリスクの影響度を軽減もしくは発生頻度を抑制する対策であり、回避、予防・防止、移転に対策の性質を分けられる(表1参照)。

 そして、リスクコントロールを行っても、なお残存するリスクに対して、資金的な用意をしておくのがリスクファイナンスである。リスクファイナンスには保有と保険が存在する。ちなみに、情報セキュリティ分野でも、現在個人情報保護法に対応させた保険商品がいくつか発売されている。

 個人情報保護関連5 法の全面施行を前に、ほぼすべての事業者は、2005年4 月までに何らかの「安全措置」の構築を迫られている。しかし、担当者は、「セキュリティ対策が業務の利便性を阻害する」と、現場から不満の声が上がることを危惧している。

 一般的に、セキュリティの強化は利便性の低下を伴うイメージを抱かせる。このため、実際に従来のシステムを利用した業務を変更させないよう、とりあえず、2005年4 月までの対策としてログ収集だけを実施したいと考える担当者も少なくない。

 しかし、個人情報の漏えいや改ざん防止をおもな目的とするなら、ログ収集だけでは目的を達しえないことは明らかだ。いま、企業は業務で情報を扱う上での利便性とセキュリティ強化のバランス感覚をもった情報管理対策を求められていると言えよう。

Copyright © ITmedia, Inc. All Rights Reserved.