Enterprise Watch
連載バックナンバー
2007年
2006年
2005年
2004年
2003年

個人情報保護法で情報システム大激震!

第二回・大企業はどう対応したのか?


 これまでも企業は社内のセキュリティ対策強化を進めてきた。しかし、「これまでのセキュリティ対策と個人情報保護法対策には大きな違いがある」とセキュリティ対策の専門家は指摘する。これまでのセキュリティ対策は、「ウイルスに対抗するために導入したアンチウイルスソフトに代表されるように、製品を導入すれば対応できた」ものだった。しかし、社内にある個人情報を管理することが求められる個人情報保護法対策は、企業の業務フローにあわせた取り組みが必要となる。1社ごとに異なる対応が必要となる個人情報保護法対策に、これまでも先進的に情報システムを活用してきた企業はどのように取り組んでいるのだろうか。


すぐできる対策が目立った施行直前

NRIセキュアテクノロジーズの情報セキュリティ調査室長、菅谷光啓氏
 「大企業といえども、根本的な情報システムの見直しを行ったところばかりでなく、とにかくすぐに対応できる対策をとった企業がもっとも多いのではないか」

 野村総合研究所グループでセキュリティ対策を担当するNRIセキュアテクノロジーズの情報セキュリティ調査室長、菅谷光啓氏はこう指摘する。「根本的な業務システムの見直しに取りかかるのはこれからで、すぐにできる対策をとる企業が目立った」

 個人情報保護法対策は、ネットワークに外部から侵入されることを防ぐセキュリティ対策とは異なり、ひとつの対策を導入すれば対応は十分というものではない。「情報が蓄積されたパソコンやサーバーを廃棄する時に、どういう対策をとるかといったことまで考えなければならない」と、日立製作所の情報・通信グループ セキュリティソリューション推進本部 セキュリティマーケット開発部、金野千里担当部長は指摘する。短期的な対策に加えて、長期的な視点でどう個人情報を管理するかという視点が不可欠となるわけだ。

 にもかかわらず、本格的な対応策を取る前に、すぐにできる対応策を行う大企業が多かったというのは、なぜなのだろうか。

 「大企業は、情報システムにかける予算が多いといっても、かかわる端末、人の数が多いために、コストから見て、対応できる、できないという問題が出てくる」(NRIセキュアテクノロジーズ 菅谷調査室長)

 また、企業によっては、自社を管轄する省庁から出される対策指針の発表が遅れたために、「一度、導入したものを改変するのは無駄が多いと考え、監督省庁から指針が発表されるまで待っていた企業もあった」(同調査室長)という。

 根本的な対策も、すぐできる対策についても、「すでに十分に対応ができたという企業ばかりではない。個人情報保護法対策ソリューションの導入は、少なくとも今年1年はまだ続いていくだろう」というのがセキュリティ対策を提供する企業の共通した見方だ。


情報利用のエンドポイント対策やアクセスログ管理が「即応」の代表例

日立製作所の情報・通信グループ セキュリティソリューション推進本部 セキュリティマーケット開発部、金野千里担当部長
 では、すぐにできる対策とはどんなものだろうか?

 「例えば、個人情報を表示する仕組みを変えること。一度に数百件の個人情報を表示し閲覧できるとなると、情報を扱う社員にも『出来心』が起こりがち。一度に表示できる情報の件数が数件にとどまるとなると、『出来心』も起こしにくくなる」(NRIセキュアテクノロジーズ 菅谷調査室長)

 情報の表示や印刷制御のように、利用者が情報と接するエンドポイント対策は、これまであまり導入が進んでこなかった。しかし、比較的容易に対策がとれることから、個人情報保護法の全面施行を前に脚光を浴びたもののひとつである。

 また、「サーバーのアクセス制御もすぐにできる対策のひとつ」(日立製作所 金野担当部長)である。

 アクセス制御に加えて、サーバーへのアクセスログや、室内へのアクセスログなど、誰が、いつ社内に入り、どの情報にアクセスしたのかといった部分の管理を強化する企業も多かった。

 その中身も、「アクセスログをとっていたものの、それは犯人を捜し出すためというよりもシステムを安定稼働させることが目的だったケースも多い。そこで、何かトラブルが起こった時にも犯人を捜し出せるように、取得したログをどう圧縮し、どう見るかといった点に着目したシステムへの見直しを行う企業が多かった」(NRIセキュアテクノロジーズ 菅谷調査室長)という発言からもわかる通り、セキュリティオペレーションを主眼としたアクセスログ管理システムを新たに導入する企業が多かった。


理想的な情報システムとはどんなスタイルなのか?

 では、逆に本質的な個人情報保護法対策とはどういったものか。

 「個人情報保護法に対応するためには、情報の管理に加えて、個人からの請求に応じて情報の利用状況を回答する義務も含まれてくるため、複層的に対応策を考える必要がある」(日立製作所 金野担当部長)

 複層的な対策をとっていく上で、ポイントとなるのは次の三点である。

 1,社内にどんな個人情報があるのかという資産の洗い出し
 2,それぞれの資産にどんな脅威が及ぶ可能性があるのかの明確化
 3,情報が置かれている部分に関する脆弱性の発見

 この3点のポイントを定めた上で、リスク分析を行う必要がある。

 ここまで徹底して社内システムの全般的な見直しと、業務フローに応じたセキュリティポリシーの策定を行った企業は、個人情報保護法対策に有効な基準といわれるプライバシーマークや、情報セキュリティマネジメントシステム(ISMS)などの認証資格を取得した企業が多い。

 認証資格を取得しておくことで、「万が一、情報漏えい事件が起こり、裁判となった時にも、その企業は十分に対策をとったと認められ、免責となる可能性が大きい」と弁護士など法律の専門家は見ている。

 さらに、リスク分析を行った上で対策をとることになるわけだが、対策のとり方、範囲などによってかかるコストも異なってくるため、企業によってどういう対策をとるのか、答えも違ってくる。

 「例えば、パソコンを廃棄する場合、ハードディスクに蓄積された情報をどう処理するのかは企業により、対処法は異なる。一般的にはランダムな数字を3回上書きするという方法がとられることが多いが、それでは不十分なので物理的にハードディスクを破壊したいという企業もある。どのレベルで対処するのか、企業とコンサルティングをした上で決定するのが本来のスタイル」(日立製作所 金野担当部長)

 企業としては、どうリスクに対処していくのか、明確な方針が必要となる。


将来対策を視野に入れる必要性も

 また、現行の対策とともに、「将来への対策をどうすべきか、考えておく必要がある」ということもセキュリティの専門家は提言する。

 「これまでは、脅威のバラエティは少なかったので、常識的な対応策だけを考えておけばよかった。しかし、常識的な対策だけでは不十分となってきている」(NRIセキュアテクノロジーズ 菅谷調査室長)

 つまりリスク分析においても、現状では想定できないリスクが生まれてくる可能性もあるということだ。具体的にいえば、これまで社外からの攻撃を防ぐことには注意が払われてきたが、性善説に従って社内からの情報漏えいはないものとされてきた。しかし、現実には社内からの情報漏えいは多い。個人情報保護法対策としても、社内漏えいをいかに防ぐかは欠かせない視点である。 技術の進展に対処しやすい情報システムという視点も欠かすことはできない。

 「セキュリティパッチを当てることを前提に、システム構築する必要がある。大規模システムでもセキュリティパッチがあてやすいシステムを考慮すべき」(NRIテクノロジーズ 菅谷調査室長)

 さらに、「これまで情報システムは、使いやすさを重視してきたが、これは経営者にとっては組織を守りにくい仕組みであることも明らかになった。パソコンの場合、世代交代が激しくクライアントの機器、OSなどが統一されたものではないため、セキュリティ的な問題が起きやすいことも明らかになってきた。中央集中型のシステムの方が高セキュリティにしやすく、コスト的な部分でも安価で済む」(日立製作所 金野担当部長)と分散型のシステムから、中央集中型システムへの移行が進むという見方もある。

 個人情報を正しく管理していくためには、情報システムにも変化が必要であることは確かなようだ。


関連記事
  ・ 第一回・コンピュータ世界のトレンドを作った個人情報保護法(2005/04/20)


( 三浦 優子 )
2005/04/27 00:00

Enterprise Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.