【失敗から学ぶセキュリティ】投資した効果を追求する

ローブライトコンサルティング株式会社 代表取締役　 加藤道明 Michiaki Kato

　ご存じだろうか、「在職当時の顧客情報を不正に使用」、「自宅パソコンがウイルスに感染し流出」、「システムの不具合により、第三者が閲覧できる状態に」、「誤発送」、「誤送信」、「紛失」、「置き忘れ」といった事件、事故が一部マスコミにより、ほぼ毎日のように報告されている。まだまだ氷山の一角だろうが、この報告を分析してみると、年々「持ち出しを禁止していたにもかかわらず...」といった報告が増えていることがわかる。なかには、ISMS やプライバシーマークを取得している事業者もいる。もちろん、内部統制を行っていれば絶対に事件、事故が起きないという訳ではない。しかし、企業が人・物・金といった経営資源を投資し内部統制を行うということは、事件、事故が起きる可能性、または起きた際のダメージが最小限にならなければ意味がないのだ。




　企業が情報セキュリティに関する内部統制に投資する本来の目的は、リスクを最小化し事業継続を確実にすること、投資に対する事業機会を最大限にするという見返りを期待することにある。しかし、いつしか情報セキュリティに関する内部統制の方法論だけが一人歩きし、本来の目的を見失いかけているように感じられる。本来の目的を見失った内部統制は、投資に対する事業機会を最大限にするどころか、経営効率化を阻害するだけである。今回は、情報セキュリティに関する内部統制本来の目的に着目し、合理的、つまり有効的に活動するための実務上の勘所をご紹介したい。




　社員の理解が得られていない活動になっていないだろうか。実際に情報を管理するのは社員である。その社員が何のための管理なのか理解できなければ、社員が被害者意識をもつことになり、モチベーションも下げてしまう。また、それが長く続けば、意識が麻痺してしまう。管理しているふりをする（記録だけで、実態がない）。行き着く先は、連帯無責任の組織である。脅威とは、そういったところに付け込むものである。

（表1）コーポレートガバナンスと内部統制

　自社におけるリスクアセスメント（分析と評価）を行っていない、また、形だけのリスクアセスメントになっている、そのような組織に共通して見られるのが、過剰な管理と現場の疲弊である。リスクに応じた管理の選択が不適切ということである。たとえば、隣の部門に渡すだけでも授受の記録を残すようにしたところもあるようだ。また、2008年度決算から適用される「財務報告に係わる内部統制」においても、パスワードの秘匿やウイルスパターンファイル、セキュリティパッチの励行を監査人にPR するところもある。しかし、これまで第三者が不正侵入し財務諸表を改ざんしたとか、ウイルス感染によって財務諸表が改ざんされたという話は聞いたことがない。




　そもそも内部統制とは、経営者が社員を統制することをいう。利害関係者が経営者を統治することをコーポレートガバナンスという。利害関係者が経営者を統治し、経営者が社員を統制する。昨年の会社法改正でも、明確に位置づけられた。経営者が社員一人ひとりに意識づけすることは、内部統制の第一歩である。ポイントは社会的責任などの理念だけで終わらず、必ず何のための管理なのか、何を守って欲しいのかをできるだけ具体的に示すことである。これが情報セキュリティ基本方針である。モチベーションが低い組織では、悪い情報が速やかに上がらない。モチベーションを高め、無知、無責任、油断を防ぐ方向にもっていかなければならない。




　本来、リスクアセスメントは、リスクに応じた管理を選択するために行うもの。リスクに応じたとは、事業に影響を及ぼす度合いに応じたということでもある。情報セキュリティとは、事業上の脅威から情報を保護することであり、そのリスクアセスメントは、情報が漏れた場合、誤った情報になってしまった場合、情報が利用できない場合、事業に与える損失を考えて実施されなくてはならない。事件、事故の事例に学び、自社において想定される法令違反による処罰、経済的な不利益（損害賠償、違約金の支払い、解約、契約を逃すなど）、社会的な信用の失墜（営業展開が不利になるなど）を、分析、評価してほしい。その結果、事業に与える想定損失が大きい順に人・物・金を投資することをお奨めする。逆に、事業に与える想定損失が考えられないようなものには、人・物・金を投資する必要はない。管理増やす決断も必要だが、増やさない決断も必要である。

　最後に、ISMS やプライバシーマークの認証取得について触れたい。まず、認証とは、マネジメントシステムのプロセス（PDCA）を評価するものであり、安全性を保証するものではないことを知る必要がある。認証取得事業者が事件、事故を起こしたとしても、認証した審査機関並びに審査員が責めを負うようにはなっていない。たとえば、「内規違反の件数が昨年は50 件だったので、今年は40 件以内を目標にする」といった活動も認められる。しかし、あえて認証取得をお奨めしたい。その理由は、継続的な外圧の必要性である。取得後、ISMS では年に1 回、プライバシーマークでは2 年に1 回、審査員が確認にくる。そのため、どれだけ忙くても、毎年最低限のことは対応しなければならない。事件、事故の経験がない組織において、内部統制が継続できなくなる例が見受けられる。認証取得もまた、有効的に活動するためのツールである。

（表2）リスクに応じた管理を選択する