Enterprise Watch
最新ニュース

中小企業に「個人情報保護法適応のみの対策」傾向-ISS調査


 「多くの企業は、個人情報保護法にパッチワーク的な対策で適応しようとしており、“情報漏えい”に対して意識が向いていないように思える」。インターネットセキュリティシステムズ株式会社(ISS)プロフェッショナルサービス部シニアディレクターの山口毅治氏は、同社が実施した「外部業務委託と個人情報保護に関する状況調査」の結果に対し、このように指摘した。


委託元よりも委託先の方が意識が高い?

プロフェッショナルサービス部シニアディレクター 山口毅治氏
 同調査は、2005年2月~5月に従業員数100~1000人規模の中堅・中小規模企業191社の経営者や情報管理者らに行ったアンケートから、有効数51社の回答を集計したもの。個人情報保護法では、業務委託先の企業で情報漏えいなどの事故が起こった場合、委託元の企業にも責任が追求されるため、業務委託における情報管理の意識や対策に関する質問への回答がまとめられている。

 これによると、外部委託先の個人情報管理状況の把握、および委託先への対策支援について、およそ半数しか「行われている」と回答できず、法律施行後にもかかわらず、いまだ「暗中模索状態」(山口氏)であるという。

 ただし外部委託先の選定基準について問うたところ、ISO9000やプライバシーマークなどの認定を受けていることを挙げた企業が半数近くにのぼっていた。こうした傾向は、委託元よりも、むしろ委託を受ける企業の方がビジネスに大きな影響を受けるため、意識が高まりつつあるといえるかもしれない。

 これをうけ、山口氏が企業を訪問し調査を行ったところ、委託先に対し情報保護のガイドラインは定めているものの、現場で実際にやりとりされている情報への考慮がされていないなど、運用と大きな隔たりがあるケースが多かったという。「特に製造業など(ITへのかかわりの薄い)企業はその傾向が強かった」(山口氏)。また、セキュリティを重視するあまり、業務の可用性が犠牲になる危惧(きぐ)を持っているという印象も受けたという。


外部委託先の個人情報管理状況の把握について 外部委託先への個人情報管理対策支援対策について

法に適応するだけの対策で踏みとどまる傾向が強い

 では、実際に行われていた対策はどのようなものかというと、機密情報を扱う部屋の入退室や、送受信されるメールのチェックなどがあったという。もちろん、これらの対策として有効だが、一方で管理者や従業員の意識は高いとはいえず、「システム的な対策に走りがち」(山口氏)であるとのこと。トレーニングといった人への投資は、比較的軽視されていることが多いようだ。

 そもそも企業がセキュリティ対策に割り当てる予算が、昨年と変わりないか、むしろ絞り込まれているところも多いという。例えば、法律施行前に自社は適応できるかを調査するコンサルティングを行い、改善を必要とするもののみ部分的な対策をしたが、そこからのブラッシュアップができておらず、依然情報漏えいの危険性が随所に残っているといったところだ。

 こうしたことから山口氏は、法律施行後も適応できる最低限のラインを超えようとする動きが「予想以上に少ない」と警告している。



URL
  インターネットセキュリティシステムズ株式会社
  http://www.isskk.co.jp/


( 朝夷 剛士 )
2005/06/09 17:08

Enterprise Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.