メディアの回廊

国内有力メディアが大塚商会向けに書き起こしたオリジナル寄稿記事をまとめてご覧いただけます。

コンプライアンスとセキュリティがビジネスのパスポートに

セキュリティ対策や法令順守を意識はしているけれど十分なのだろうか

2017年5月30日、改正個人情報保護法が施行された。5,000件以上の個人情報を保有する企業という縛りがなくなり、実質的にあらゆる企業が対象となる。個人情報、マイナンバーなど企業として守るべきデータは増えている。機密情報なども当然守るべき資産だ。ネットの時代にどこまで手厚く対策を講じるべきなのだろうか。 (DIAMOND online/JBpress特約)

[2017年 7月21日公開]

セキュリティ対策が企業間格差を生む

今回の改正個人情報保護法によって何が変わったのか。5,000件以上の個人情報を保有するという制限が撤廃されたことは冒頭でも触れた。しかし、今回の最も重要な部分は、個人情報をあらためて定義して、企業における活用を促したところだ。そこが“改正”なのである。

背景にあるのは、インターネットの普及、いやもっと具体的に言えば、スマートフォンなどマルチデバイスの広がりと、これから本格的にやってくるIoT時代の到来にどう対応するのかという課題だ。

デジタル化が進むことで個人情報に含まれる範囲は大幅に広がってきた。氏名や性別、住所、クレジットカード番号などはもちろん、いつどこで何を買ったのかという詳細な情報からも個人を特定できるからだ。

しかし、一方でこうしたデータは効果的なマーケティングの材料にもなる。ECサイトで買い物をしていると「オススメ」の商品が提示されるが、これには過去の購買データが活用されている。

「購買データを活用するのがいけないことなのか」というと、そんなことはない。個人的に不気味さを感じる人はいるだろうが、オススメから本当に自分が欲しかった商品を見つけられるケースも多い。販売する側から見れば効率的な販促活動だ。そこにはWin-Winの関係が成り立っている。

今回の“改正”が意図しているのは、個人のプライバシーを尊重できる形で、こうしたデータを活用できる仕組み作りを促すことだ。その鍵となるのが匿名化である。例えば、購買データの店名を販売形態区分に、購買の時間を秒から分に変更することで、個人の特定が困難になる。「こうして匿名化したデータなら活用してよろしい」というのが改正個人情報保護法の意図するところだ。

個人のデータをマーケティングに活用できるかどうかは、販売効率を大きく左右する。つまり、上手に匿名化して活用できる企業と、データをお蔵入りさせてしまう企業では、大きな差が生じてしまうことになる。デジタルに弱い人がデジタルの恩恵を受けられない“デジタルデバイド”ならぬ、企業間の“データデバイド”が起きてくる。

セキュリティ対策がビジネスの必須条件に

実際にITやインターネットの普及は、こうした格差をさまざまな場面で引き起こしている。インターネットセキュリティがどれだけ確立されているかという点も同様だ。

インターネットの世界では被害者が意図に反して加害者になってしまうことがある。例えばウイルスの拡散だ。社員のPCがウイルスに感染していたのに気づかずに、メールなどでウイルスをまき散らしてしまうことがある。そういう恐れがある企業とは取引したくないと考えるのは当然だろう。

今、大企業を中心に多くの企業が厳しいセキュリティポリシーを取り入れ、さまざまなセキュリティソリューションで高いセキュリティレベルを確保しようとしている。それに伴って取引先にも高いセキュリティレベルを求めるのが通例だ。

これまでは「セキュリティは利益を生まないから」と及び腰になる経営者もいないわけではなかった。しかし、本当にそうだろうか。取引してくれる相手がいなくなればビジネスは成立しない。つまり企業としての先行きもない。市場から退場を命じられてしまう。

実際に個人情報漏えい事故を起こして、損害賠償などの実被害が発生するケースは枚挙にいとまがない。それだけでなく風評被害もつきまとう。間違いなくセキュリティが企業の存続条件になりつつある。この傾向はより強くなることはあっても、薄れていくことはない。

しかし、悩ましいのはどこまで対策をとるかだ。社会的に高いセキュリティレベルを求められているある企業のCIOは「完全な対応はありえません。万が一問題が発生したときに、そこまでやっていたのなら仕方がないと思ってもらえるレベルまでやるしかない」と話してくれた。

一般企業にはそこまでの対応は求められていないとしても、基本的な対策は怠るべきではない。今年のゴールデンウィーク明けに、世界各地でシステムの機能を停止させて身代金を要求する“ランサムウェア”による攻撃が発生し、英国の医療機関やドイツの鉄道などが被害を受けた。日本国内でもいくつかの公的機関や企業で感染が確認された。

一見、防ぐ手だてがなかったかのように思われるこの攻撃も、実はWindowsの脆弱性を狙ったものであり、Windowsがきちんとアップデートされていれば被害は防げたとも言われている。

基本を踏まえて仕組みでリスクに対応する

それでは基本的な対策とはどこまでを指すのだろうか。ここではセキュリティを守るポイントを「端末を守る」「サーバーを守る」「ネットを守る」という三つのシーンに切り分けて考えてみよう。

まず端末を守るうえで重要になるのが、全ての端末に同じ対策ソリューションを導入して、一元的な管理を確立することだ。

“桶の理論”というのをご存じだろうか。複数枚の立て板から構成される桶に水を入れる場合、最も背の低い立て板の高さまでしか水を入れられない。同様にセキュリティも最もセキュリティレベルの低い部分が全体のセキュリティレベルを決めてしまう。

この理論からも、セキュリティレベルをそろえておくことが重要なのはお分かりいただけると思う。Windowsのバージョンがバラバラといった事態は避けたいところだ。それを実現するためにも運用管理はシンプルにしたい。一元管理すれば運用に手間取ることはない。

次のサーバーについてはさらに慎重な対処が求められる。多くの機密情報はサーバーにあるのだから当然だろう。サイバー攻撃もサーバーが攻撃目標だ。端末を攻撃して乗っ取ろうとするのもサーバーに侵入するためだ。

サーバーのセキュリティ対策としては、仮想パッチソリューションやアクセス権限コントロール、ログ監視などさまざまなソリューションが用意されている。サーバーごとに個別な設定が必要になる専門性の高いものが多いので、クラウド上に移行させるというのも、リスクの転嫁という視点からも効果的な対策だ。

三つ目のネットを守るという視点は、これからのコンピューティングスタイルを考えると最も重要かも知れない。なりすまし、不正アクセス、フィッシングなどネット上には多くの脅威が存在する。それに対応した多種多様なセキュリティソリューションが提供されている。それらのセキュリティ機能がまとめて提供されている統合脅威管理アプライアンスを利用するのも一つの方法だろう。

もちろん、こうした基本対策をとったからといって十分ということはない。IoTが広がればさらに攻撃対象は増えるし、セキュリティレベルを一定に保つにも工夫が必要になる。しかも、東京五輪の影響もあって、2020年までは確実に攻撃は増えてくる。

しかし、コンプライアンスもセキュリティも企業の競争力を左右する経営課題だ。気づかない間に犯罪者や加害者にならないように、仕組みで対応していくことが求められているのである。

協力メディア

DIAMOND online/JBPress

「働く場改革」が創るビジネスの未来をもっと読む

記事と関連する製品・ソリューション

  • セキュリティ

    オフィス内外からの脅威に備えるセキュリティ対策をご紹介します。

  • 改正個人情報保護法 診断サービス

    2017年5月30日に改正された個人情報保護法のシステム対策(技術的安全管理措置)について自社の対応状況を診断することができます。

いまどきのIT活用のおすすめ記事