中小企業の情報セキュリティ対策で必要なことは:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > インタビュー記事 > 中小企業の情報セキュリティ対策で必要なこととは
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

岡田浩一 明治大学経営学部教授に聞く
中小企業の情報セキュリティ対策で必要なこととは

明治大学経営学部教授
岡田浩一
中小企業の情報セキュリティ対策で必要なこととは

 情報化の進展により、中小企業でも様々な場面でITが活用されるようになったが、情報セキュリティ対策については、十分に取り組まれていない。なぜ中小企業で取り組みが進まないのか。何から着手すればよいのか。中小企業研究で毎年100社前後を訪ね、多くの現場を見ている明治大学経営学部の岡田浩一教授にお話をうかがった。

中小企業とIT経営

―中小企業の情報セキュリティに関心を持ったきっかけを教えてください。

岡田氏 大学時代に経営学部で何を研究テーマに選ぼうかという時に、中小企業論を研究している人がまだ少なかった中で恩師がその研究をされていたことが大きなきっかけです。しかも世の中には圧倒的に中小企業が多く、また出身地の新潟県三条市が中小企業の町であることから、「中小企業を知らずして経営は語れないのではないか」と考えました。

岡田浩一 明治大学経営学部教授
岡田浩一 明治大学経営学部教授
 その後は下請け企業の研究を中心にしてきたのですが、IT利活用で優れた中小企業を選出し、事例として提供していく経済産業省の「IT経営百選」の審査委員にお声掛けをいただきました。さらに、IT経営を実現し他の企業の参考になるような中小企業等を同省が表彰する「中小企業IT経営力大賞」にも携わる中で、IT戦略をどのように展開していくかが中小企業にも重要だと考え、そちらの現場を歩くようになりました。

 中小企業を回る中で、セキュリティに対する温度差は企業によって大きいと感じました。これだけPCが普及し、ますます情報の価値が高まってきたのに、情報を盗まれることが資産を盗まれるのと同じことだと直感的に感じ取る方と、そうではない方の2タイプに分かれてしまっているのです。重要な経営資源である情報資産が漏洩してはならないということで、IT経営からセキュリティを切り離すことはできないと考えるようになりました。

〈図表1〉IT経営力指標における各ステージの考え方
出典:経済産業省「『IT 経営力指標』を用いた企業のIT 利活用に関する現状調査報告書」(2007年3月)などを基に作成
〈図表1〉IT経営力指標における各ステージの考え方
出典:経済産業省「『IT 経営力指標』を用いた企業のIT 利活用に関する現状調査報告書」(2007年3月)などを基に作成 (クリックすると拡大します)

―中小企業におけるIT経営導入の現状はどのようなものなのでしょうか。

岡田氏 経済産業省の2007年の資料を見ると、日本では中小企業の7割以上が、「IT経営力指標*1」(図表1参照)でステージ1からステージ2にとどまり、ステージ3以上は3割に届かないという現状があります。米国は数値が逆転しており、7割程度がステージ3以上となっています。つまり、日本の中小企業はツールを入れていても、経営に生かし切れていないのです。

 例えば、ホームページを作って会社案内を発信したり、通信販売を始めたりすれば、顧客は増えますが、そのことだけでIT経営が上手くいったと考えて、そこでとどまってしまう企業が多いのです。これはあくまで、最新の道具を入れたことで剰余の価値が短期的に生まれただけです。増えた顧客をどのようにリピーターにするか、得た情報をどのように次の経営戦略に結びつけるかということも含めてIT経営なのであって、短期的に成果が出たこととは違うのです。

 私も企業を回りながら「せっかくある道具をなぜ使わないのだろう」という気持ちになることも多々あります。その際には、「中小企業IT経営力大賞」の事例紹介もするのですが、いかんせん中小企業は国内に420万件もありますから、多くの中小企業の方々に理解してもらうことはとても大変なことだと思います。

経営者の意識が高まらない理由

―IT経営がそういう状況ですから、情報セキュリティ対策も進まないのでしょうか。

岡田氏 情報セキュリティ対策への意識にはものすごく温度差があります。ソフトウェア系企業などは意識が高いのですが、そうでないところは「それが何になるのか」といったように考えていて、ウイルスセキュリティですら「いらない」という経営者もいます。大変危険だなと感じます。

 経営者に「こんなに大変なことがあったのですよ」とお話をすると、慌てて対策ソフトは買われるのですが、今度は更新をしないのです。「アップデートする」ということを理解しないとか、お金をかけられないという方も多いようです。特に高齢の経営者は、新しいツールを使うときに危険性を理解できていないのではないかと思います。
〈図表2〉中小企業が抱く情報セキュリティ対策の課題
出典:情報処理推進機構(IPA)「中小企業の情報セキュリティ対策確認手法に関する実態調査」2008年
〈図表2〉中小企業が抱く情報セキュリティ対策の課題
出典:情報処理推進機構(IPA)「中小企業の情報セキュリティ対策確認手法に関する実態調査」2008年 (クリックすると拡大します)

―調査結果をみると、投資対効果が見えないという声が多いようですね。

岡田氏 2008年秋のリーマンショック以降、中小企業は厳しい経営を迫られていることもあり、対策をしなければならないとわかっているけれどお金を捻出できないという企業はとても多いのです。家でお金を盗まれないように金庫を買ったけれど、それでお金が増えるのかというのと同じ話で、セキュリティ対策は直接利益にはつながらず、投資対効果も求めにくいのですが、どうにかして対策をしなければなりません。

対策着手への考え方

―では、どのように考えて対策に取り組んでもらうべきなのでしょうか。

岡田氏 情報セキュリティ対策をすることは「守り」ですから投資対効果はないのですが、対策を企業のコーポレートレピュテーション*2につなげるという捉え方があります。「あの企業はセキュリティがすごい」「信用できる」ということで企業のイメージアップ、場合によってはブランドアップにつなげ、企業全体の力をアップさせて利益向上につなげるというものです。セキュリティを成長戦略の一手段に使うことが、「投資対効果がない」という声に対して、ポジティブな捉え方を促す仕組みになるのではないかと考えます。

―それが企業イメージの向上につながるのですね。

岡田氏 はい。それから、上場企業に内部統制報告書の提出を義務付けたJ-SOX法が整備され、大手企業はセキュリティガバナンスを整えることが義務になってきています。ですから、取引相手にもしっかりとした仕組みを持つことを要求してきます。これに対し「うちはできません」というのでは、取引そのものを止めてしまうということになりかねません。

 単にコーポレートレピュテーションを良くするだけではなく、「企業間関係」としてセキュリティに意識をおき、実際に展開していないと取引対象からはずれてしまう可能性は、切実に訴えることができます。「お金を掛けられない」と言っている状況だと、「イコール取引がなくなる」と考える必要性が高まってきているのではないでしょうか。

 例えば、大手メーカーが下請け企業へ渡していたファイルから情報が漏れるという問題が起きたと仮定すると、日本では大手メーカーの側が追及される感があります。ですから、情報セキュリティに脆弱性を持っている中小企業とは取引できないということになってきます。このように社会の仕組みが厳しくなってきており、国内約420万社の中小企業も、企業間取引ではセキュリティを意識しなければなりません。特に大手企業との取引が変わってくれば、必然的に対策をしなければならなくなるでしょう。

Next


お問い合わせ

  コラムトップページへ▲