 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
個人情報保護対策はインプリから運用方法検討フェーズへ-ISS |
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
インターネットセキュリティシステムズ株式会社(ISS) CTO エグゼクティブセキュリティアナリストの高橋正和氏は11月24日に開かれた記者説明会で、この背景に「建前の個人情報保護法対策と実効性を持たせた対策とのギャップが見え隠れする」と指摘した。 法律施行や情報漏えい事件などにより「個人情報」という言葉がピックアップされることが多いが、こうした情報もシステムに収まれば、ほかの機密情報と同じファイルとなる。「企業の機密情報を全体的に保護しなければならないのだが、“個人情報”という言葉だけがあまりに出回ってしまっている」と高橋氏は語る。 これのどこが問題なのだろうか。高橋氏は、セキュリティ対策には企業のセキュリティポリシーなどを策定する「認証系セキュリティ」と、機密情報を悪意ある攻撃などから守る「技術的セキュリティ」があり、この間に大きな溝があると話す。 「認証系は総務などスタッフ系の人間が担当してポリシーを策定するが、技術系は情報をファイルとしてとらえ、これに対するアクセス権限といった視点からセキュリティを考える。この間にギャップがあり、今後はこの橋渡しに力を入れていかねばならない」(高橋氏)。 つまり、企業で個人情報保護ポリシーが策定されても、実際に情報が収められているシステムのセキュリティ対策の方法論に即していない場合があるため、運用に穴が生じてしまう恐れがあるということだ。 法律施行が決まって以降「個人情報保護法バブル」とまでいわれるようなセキュリティ対策ツールやサービスの発表が続き、ユーザーらは当初「これを導入すれば対策は完了する」という認識があった。しかし、「ポリシーを策定し、ツールも入れた」企業から事件が発覚するケースが続き、現在ではこれらをどのように運用していくかを考えるフェーズに入ったという。 「セキュリティを提案する側からすると、ツールのインプリは今後減っていき、代わってこうしたツールをいかに運用していくかを検討するコンサルティングビジネスが増えていくのではないか」との見解を高橋氏は示した。 ■ URL インターネットセキュリティシステムズ株式会社 http://www.isskk.co.jp/
( 朝夷 剛士 )
|
