「事例に学ぶ情報漏洩対策・最前線」が開催:イベント・セミナーレポート:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > イベント・セミナーレポート > 事例に学ぶ情報漏洩対策・最前線が開催
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

セミナーレポート
事例に学ぶ情報漏洩対策・最前線が開催

 情報セキュリティ大学院大学は6月24日、横浜市の同大学でセミナー「事例に学ぶ情報漏洩対策・最前線」を開催した。
 このセミナーは、一般企業で実際に行われている情報セキュリティ対策事例を参考にしながら、より有効な対策を考えるといったもの。企業の情報セキュティ担当者が主に会場の席を埋めた。

大日本印刷の高田和彦氏は徹底した情報漏洩防止策について語った
大日本印刷の高田和彦氏は徹底した情報漏洩防止策について語った
 大日本印刷の元情報セキュリティ本部長で、現在はDNP情報システムの取締役専務執行役員の高田和彦氏は、大日本印刷での事例を紹介した。
 同社の事業は顧客からの情報(原稿)を、本やカタログなどの各種製品・サービスに加工することがほとんどだ。そのため、製品が発表される前の情報(原稿)は顧客の重要な機密情報となる。しかも3万件にも及ぶ顧客から個々の案件を受注すると莫大な情報量になる。同社ではそうした経緯から、顧客の情報を守ることを重要視してきた。
 具体的な対策として、同社では個人情報をデータ記録媒体に書き出す担当者を4名と少数化し、同社および子会社社員に限定。また、データ記録媒体を取り扱う社内での領域を他の領域と分離し、許諾領域以外での書き出しは一切できない環境にした。その他、退出時は警備員による金属探知器を用いた検査を常時実施するなど、情報漏洩防止を常に徹底している。
パナソニックの金子啓子氏は全ての工程で全社共有のルールを設けて実践していると語る
パナソニックの金子啓子氏は全ての工程で全社共有のルールを設けて 実践していると語る
 パナソニックの情報セキュリティ本部長、金子啓子氏も、自社の対策について講演した。
 同社では現場でISO27001*1の考え方を社内向けにカスタマイズして適用するほか、部品製造から、組立、物流など、全ての工程で情報セキュリティに関してグローバルに情報共有を行っている。
 さらに情報セキュリティを、同社の全49事業グループ全体による、全員運動として取り組んでいることを説明。具体的には、電子化情報などの情報資産に関して、現場で情報セキュリティ達成状況を自ら確認する自主精査を行う。その結果に基づき、情報セキュリティ本部が政策的な視点で情報セキュリティマネジメントの状況を総合的にチェックしている。 

 加えて、情報セキュリティ事故に対しては、48時間以内に対応することを原則とし、その対応において「顧客を守る」ことを最優先としている。迅速な情報開示、適切・誠実な対応(具体的には記者会見や、被害者への謝罪など)を信条することで、ひいては「ステークホルダーを守る」ことを目的としている。

 また自社だけでなく、取引先に対しても、職場でのアクセス管理や、ITシステムの設置、廃棄ルールの策定といった、情報セキュリティ推進体制の構築を促している。それによって取引先企業との共存・共栄を目指している。
電通大の前佛栄教授は事例研究で、PマークやISMS取得の重要性を解説。また情報漏洩を防ぐには仕事への細かな目配りが大切と指摘する
電通大の前佛栄教授は事例研究で、PマークやISMS取得の重要性を解説。また情報漏洩を防ぐには仕事への細かな目配りが大切と指摘する
 一方、電気通信大学特任教授の前佛栄(ぜんぶつ さかえ)氏は、企業の情報セキュリティ対策に関する事例研究について報告した。
 企業の情報保護の目安としてはPマーク(プライバシーマーク)制度*2ISMS*3取得の両方がある。最近の受託案件を見ても、PマークやISMSを取得しているかが取引先企業を選ぶ条件になってきている。同氏は「PマークやISMSを取得することが、情報保護における信頼性の証のひとつとなる。もちろん企業経営にとっても重要である」と解説した。

 同氏によると、例えば、Pマークを取得すると企業は個人情報保護に関して信頼性が高いと評価され、受託業務や入札案件の際に「資格」として活用することができ、企業ブランドの一環となる。
 もちろんPマークを取得している企業はその情報漏洩対策が万全であることに「責任」がある。そのため、取得企業では従業員個々のコンプライアンス(法令順守)への意識や、日々の仕事への細かな目配りが大切になってくる。

 しかし企業の情報セキュリティに対する意識が高まる一方で、個人情報漏洩件数は年々増加している。同氏は「企業の情報セキュリティにおけるトラブルの事例を見るとプリミティブ(基本的な)な要因が多い」と指摘する。
 例えば社員証の紛失については、単に身につけることを忘れたり、休日に持ち歩いたりすることが原因となるなど、基本的なことばかりだ。これらへの対応策としてはハインリッヒの法則*4に基づくヒヤリハット運動の推進、つまり危険に対して“小さな目を摘む”ことが必須になってくる。

 同氏は他にも、従業者への情報リテラシーを強化するには、「日々のセキュリティ基本行動などを記帳することで倫理観を醸成することが大切である」とした。そして最後に、企業における情報セキュリティ対策のポイントとして、トップの情報セキュリティに対する意思が明確であることや、全員を対象とする研修教育の徹底、その他情報セキュリティ専任スタッフの設置が効果的であることを付け加えた。

 今回のセミナーでは情報セキュリティの担当者が登壇し、実際に企業が現場で行っている情報セキュリティ対策の具体的な事例を紹介したので、参加者にとってイメージしやすく、とても理解しやすかった。また、前佛氏のように情報セキュリティに関する事例を分析し、問題点を客観的に示していた点もよかった。このような場で、実際の事例を参加者が共有することで、現場での対策の参考になることを期待したい。


※この講演とセキュリティプラットフォームは一切関係ありません。


注釈

*1: ISO27001
ISMS(*3参照)の国際規格。情報の機密性(C:Confidentiality)・完全性(I:Integrity)・可用性(A:Availability)の3つをバランスよくマネジメントし、情報の有効活用を実現するための指標。

*2:Pマーク(プライバシーマーク)制度
日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定。その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度。1998年4月より運用開始。

*3:ISMS
企業や組織が自身の情報セキュリティを確保・維持するために、ルール(セキュリティポリシー)に基づいたセキュリティレベルの設定などを継続的に運用する枠組みのこと。

*4:ハインリッヒの法則
ウィリアム・ハインリッヒが1929年に提唱した法則。同一人物が起こした同一種類の労働災害5000件余を統計学的に調べた結果、「重傷」以上の災害が1件あったら、その背後には、29件の「軽傷」を伴う災害が起こり、300件の傷害のない災害が起きたことから「災害」についての危険が起こる数値を「1:29:300」としたもの。


お問い合わせ

  コラムトップページへ▲