 |
|||||||||||||||||
|
|
 |
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
| ||||||||||||||
|
個人情報保護法で情報システム大激震! 第三回・対策に苦慮する中小企業 |
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
| ||||||||||||||
|
個人情報保護法の対象となるのは大企業だけとは限らない。5000人を超える個人情報を持つ中小企業は多数存在する。中小企業といえども、個人情報に対しては大企業同様の情報漏えいリスクがある。しかし、情報システムの専任担当者を持たない中小企業は、どう対策をとっていいのかがわからず苦慮しているという。また、対策を提供するITベンダー側でも、対応に苦慮しているのが実状だという。 ■ 多くの企業が実施間際に対策の必要性に気付く
今年は「実践ソリューションフェア2005」というタイトルで開催されたこのプライベートフェアの来場者は、7割が中小企業の来場者だという。これまでもセキュリティソリューションを紹介してきたが、今年ほどセキュリティコーナーの前に人だかりができた年はなかった。 大塚商会のマーケティング本部テクニカルプロモーション部、後藤和彦部長はこの状況を次のように分析する。 「1年前のフェアの時には、中小企業経営者に個人情報保護法について知っているかどうかの調査を行っても、『個人情報保護法の存在自体を知らない』という意見や『関心がない』という意見が大半を占めた。ところが、施行ギリギリになって、自分の会社にも関連する法律だということに気がついた人が多いのではないか。今年に入って、個人情報保護法関連の書籍がベストセラーになっているのも、自社がどう対策をとればいいのか悩んでいる人が多い証拠では」 1年前の時点では、個人情報保護法の存在すら認識していない中小企業も多かった。個人情報保護法という名前は知っていても、自分の会社に関係があると思っていない場合も多かったのだろう。 だが、法律が全面施行される2005年4月を前に、その影響を新聞、雑誌などで取り上げて紹介し始めた。その影響もあって、「もしかすると、自分のところにも関連してくるのではないか?」―こう気がつき始めた企業がにわかに増えたのが法律の施行直前だったのではないか。 ■ 「お任せで済ませたい」が経営者の本音 個人情報保護法対策に関心をもつ中小企業が増えれば、対策ソリューションを提供している大塚商会にとっては、ビジネスが大きく伸張するチャンスだ。が、後藤部長は、「需要が増えたといって喜べない」と苦笑する。 「相手が中小企業であっても、大企業であっても、同様にコンサルティングを行い、セキュリティポリシーを決めるなどの工程を経ていかなければ個人情報保護法対策は実現できない。それに対して中小企業側は、『すべて任せるから』と、そういう工程を抜きにしてすぐにできる対策をとって欲しいとリクエストしてくる」と、ユーザーの意識と対策をとるための現実に大きな乖離(かいり)があるためだ。 後藤部長は、中小の製造業の経営者座談会で、中小企業経営者の生の声を聞く機会を得た。そこで出たのは、「セキュリティ対策はITベンダーに丸投げしたい」という経営者の本音だった。 「中小企業といっても、さすがにセキュリティに対する関心は高かった。だが、中小企業は余裕がないため、本業にしか人を割けない。本業に直接かかわらないセキュリティ対策については、『後はよろしく』と丸投げしたい」(同部長) しかし、いくら中小企業の経営者から「丸投げしたい」といわれても、個人情報保護法対策に関しては、ITベンダー側も、「それに応じることはできない」(後藤部長)。企業規模の大小にかかわらず、本格的に個人情報保護法対策をとっていくためには、セキュリティ商品の導入や経営層だけの理解では不十分。社員も含めて意識を変えてもらう必要がある。 「丸投げでも大丈夫ですよなどとうかつに答えれば、逆にユーザーの信頼性を失う。なぜ、丸投げでは対策がとれないのか事前説明を行わなければならない。こうした説明の必要な点が、大企業向けビジネスにはない、手間のかかる部分だ」(同部長) ■ 需要が伸びたのは「すぐできる対策」
「4月前に導入が増えたのが、本人認証、データの暗号化対策、アクセスログの取得といったすぐにできる対策だった」と大塚商会のマーケティング本部テクニカルプロモーション部OSMグループ2課、西川靖彦課長は説明する。 「既存のシステムデザインを、情報漏えいがしにくいものへ変えるというよりも、ローコストで、既存の仕組みに合った対策をとることが、コストが限られている中小企業にとっては必須」となっている。つまり製品を導入してすぐに効果が出る対策に人気が集まっている。 本人認証、アクセスログの取得は、これまで社員を信じる性善説のもとセキュリティ対策をとってこなかった企業にとっては、最も導入しやすい対策となる。 こうした製品の需要は今年4月前に大きく伸張したが、「まだまだ売れ行きアップは続き、少なくとも年内一杯は需要拡大が続くのでは」という。いまだに対応策をとっていない企業も多いことから、需要拡大が続くと見通している。 ただし、こうしたすぐできる対策を導入しただけで情報漏えい対策が十分というわけではない。例えば、アクセスログを取得し、誰がどんな資料をプリントアウトしたのか把握したとしても、印刷された紙をきちんと管理しなければ情報漏えいが起こる可能性がある。企業が印刷した紙をどう管理し、廃棄するのかといったトータルな情報管理をする体制がなければ、個人情報漏えい対策は十分とはいえない。 こうした対策を全て1社の企業で対応するのは難しい。そこで大塚商会では昨年7月、RSAセキュリティ、エムオーテックス、クオリティ、損害保険ジャパン、シトリックス・システムズ・ジャパン、トレンドマイクロ、日立ソフトウェアエンジニアリング、マイクロソフトの9社連合で情報漏えい対策ソリューションを提供していくことを発表した。 これは、情報漏えい対策向け製品をもつ企業9社が集まり、ネットワークやサーバー、Webサイトなど企業の情報漏えいが発生しやすい個所に、「情報漏えい対策基準」を作成。その基準に基づく具体的なソリューションと運用方法を示した簡易セキュリティ対策診断を無償で提供し、これをきっかけに有償ビジネスにつなげていくことを狙いとしている。 さらに2月21日からは、「個人情報保護法対策安心パック」の提供を開始した。これは、個人情報保護法への企業の適合度を、経済産業省ガイドライン内の安全管理措置などに準じて客観的に評価し、実施すべき対策を具体的に記載した報告書と対策実施のための管理帳票サンプルを提供するサービス。 中小企業には敬遠されがちなセキュリティコンサルティングのきっかけをパックとして提供することで、敷居を下げることを狙っている。 もっとも、これでも敷居が高いと感じる中小企業も依然残っている。 「そういうユーザーに対しては、ASP形式でサーバーを管理するなど現在のアプローチとはまったく違う方法が必要となるのかもしれない。ただ、現在のところ、そういうソリューションは存在しないので、複数のメーカーと相談しながらソリューションを作り上げていく必要がありそうだ」と西川課長は指摘する。 中小企業の個人情報保護法対策は、法律が施行された2005年4月で完成形になったというよりも、ようやくスタートしたというところのようだ。 ■ 関連記事 ・ 第一回・コンピュータ世界のトレンドを作った個人情報保護法(2005/04/20) ・ 第二回・大企業はどう対応したのか?(2005/04/27) ・ マイクロソフトや大塚商会など9社、企業連合により情報漏えい対策に取り組む(2004/07/22) ・ 大塚商会など9社、簡易セキュリティ診断サービスを無償提供(2004/09/09)
( 三浦 優子 )
|
