ホーム > 情報セキュリティ > 大切なのは当事者意識と人材の活用(経団連の提言を読んで)

大切なのは当事者意識と人材の活用(経団連の提言を読んで)

経団連から「企業の情報セキュリティのあり方に関する提言」と題される文書が公表された。企業の立場と政府の立場でそれぞれ、あるべき姿、なすべき事を唱えている。

これまでも同様の報告や提言は政府の委員会や民間の団体から出されており、客観的指標の必要性や個人情報の保護を大きく取り上げている他は、これといって目新しいものではない。ただし、経団連のような組織が、情報セキュリティを企業が果たすべき社会的責任と明確に位置づけた点については高く評価されるべきだろう。

相変わらず「トップマネジメントの関与が重要」で、「システマティックな管理が必要」だし「人材は不足」している。同じような報告書や提言が繰り返される背景には、皆、問題は自分達の外にあると思っているということがあるのではないだろうか。このような提言を作成している人物や組織自体、十分に当事者意識を持って情報セキュリティの問題に取り組めているのだろうか。

2-(2)経営課題としての情報セキュリティ
―守りの情報セキュリティから攻めの情報セキュリティへ―

「守りの情報セキュリティから攻めの情報セキュリティへ」はいいかげん使い古されたフレーズだ。積極的にリターンを狙った情報セキュリティ投資を行いましょうということだが、誤解を招かないためにも素直にそう書いた方が良いだろう。攻めのセキュリティという言葉は色々な意味で使われるが、結局なんだかよくわからないことが多い。

3-(2)達成すべき合理的な情報セキュリティ水準

「あるリスクに対してはこのレベルの対策が必要」という合理的なセキュリティ水準の目安について、官民が協力し、何らかの具体的な指標を共有できるようにする必要がある。

現在のところ具体的なベンチマークやガイドラインは整備されているとは言えず、今後様々な場面で活用の余地があり、策定する価値は高いと思われる。

4-(2)政府の取組み

政府は、自らの情報セキュリティ対策を充実させ、政府機関および公務員による情報流出をなくし、企業の手本となるよう、以下の取組みを実施すべきである。
(中略)
政府の情報セキュリティへの取り組みを通じてベストプラクティス・モデルを提示し、民間への啓蒙、具体的な対策の普及に主導的な役割を果たす。

政府がモデルケースとなり規範を示すのは当然ながら、同様に経団連自身もモデルケースとなれば、この提言がさらに説得力を持つものになるだろう。

4-(3) 企業・政府が連携して取り組むべき課題
産学官が連携し、情報セキュリティの供給、利用側双方の人材を育成する。

人材の育成も必要だが、最も重要なのは人材の活用である。これまでも人材育成の必要性が唱えられ様々な事業が行われてきたが、そこで育成されたセキュリティ人材が十分に活用されているかというと疑問が残る。組織や社会において情報セキュリティを軸としたキャリアパスを確立し、人材を活用していく環境を整備しない限り、無駄な人材を生み出すだけに終わる。

5.個人情報漏洩等防止のための実効ある対策について
そこで、そのような不正行為に対する抑止力として、個人情報流出の状況等を踏まえ、不正な目的を持って情報を漏洩した個人を直接処罰できるような法制度について、業種横断的に検討を開始することが重要である。

組織内部からの情報漏洩の防止は頭の痛い問題である。個人情報保護法により組織は情報の保護責任を問われるが、不正に持ち出した本人が罰せられないのではやってられないということなのだろう。ここでは対象を個人情報に限定しているが、広く内部情報の持ち出しについても同じことが言えるので、範囲を限定する必要はないのではないかと思われる。

政府や民間の立場からお互いにあるべき姿を提言しあうのは容易だが、「情報セキュリティが重要である。」と言っている本人が実は一番分かっていないというのは冗談ではなく本当に良くあることなのである。それぞれの立場の人が、当事者意識をしっかり持って問題に取り組む事が重要である。

【参考情報】
■企業の情報セキュリティのあり方に関する提言((社)日本経済団体連合会)
http://www.keidanren.or.jp/japanese/policy/2005/015/index.html

カテゴリー: 情報セキュリティ タグ:
  1. コメントはまだありません。
  1. トラックバックはまだありません。

CAPTCHA