【第6回】セキュリティオピニオンリーダーインタビュー　〜企業が取り組むべき情報漏洩対策と性悪説／性善説の考え方〜（前編）

4月1日に個人情報保護法が施行されたことで、企業が持つ顧客情報の重みはさらに増すこととなった。顧客情報の流出の9割は内部からの操作によるものとされており、性悪説をベースにセキュリティを考える時代と言われる。だが果たして、内部からの情報漏洩を防止するためにシステムを作れば万全といえるのか？　情報漏洩対策とコンプライアンスに詳しい稲垣隆一法律事務所　稲垣隆一氏に話を伺った。

--稲垣先生は、個人情報保護法のスペシャリストとお伺いしています。いつ頃から同分野に注力され始めたのでしょうか。また、関わり始めた当初、どのような印象を持たれましたか。

稲垣隆一法律事務所　稲垣隆一氏

　私が情報漏洩の問題に取り組み始めたのは、個人情報関連5法案が国会に提出された頃になります。当時、コンプライアンス経営の構築に関する相談を多数引き受けていたので、その一環として取り組み始めたのがきっかけです。

　法案を見て当初思ったことは、これはあらゆる企業が対象となるもので、取引や管理、株主総会、そして開発に関する契約やマーケティング、広報など、企業活動に大きく関わるのは確実だなということです。

　なにより、各種業務に個人情報というのは必ずや関わってくる上に、入手から廃棄までのプロセス、つまりは全ての業務行程に本人や国が口を出すような、従来の常識を覆す企業体勢の構築に関係する問題だと認識しました。

　また一方で、企業が他社と取引し経営活動を行っていく上で個人情報保護への取り組みをアピールすることが必須になる半面、それを実際に証明するのは難しい問題になるなと感じましたね。ただ、それ以前の95年あたりから、本格的な電子ネットワークの普及が進む中、情報セキュリティに関する問題には高い関心を持ち、セキュリティマネジメントシステムの先駆けであるBS7799は以前から勉強していました。

--2005年4月に個人情報保護法が施行されるにあたり、企業の中には取り繕うようにセキュリティツールの導入やポリシーの採用を行ったところもあります。このような対策で本当に問題はないのでしょうか。

　現在、情報セキュリティに対する社会的な関心は以前と比べて遙かに高まっており、テレビコマーシャルなどでも「セキュリティ」という言葉が一般的に使われるようになりました。そういった点では、企業もそれなりにセキュリティの強化を実施しており、その点は評価できるといえます。

　ただ、今の企業のセキュリティへの取り組みが「とりあえず服を着るようになった」という状況だと、何も着ていないよりもよい状況と言えますが、周りが全員服を着れば、どうしても質の悪い服を着ている人のほころびが見えてしまいます。現在、ひとまずセキュリティ対策を導入したという企業は、まさにその状態にあるのです。

　今後は、個人情報保護法の施行によって情報の取り扱いが厳しくなるという後押しもあり、セキュリティは企業がほかの企業と取引をする際の重要な要件になるでしょう。たとえサービスや製品が魅力的でも、セキュリティレベルが低ければ、取引が不可能になるという時代がやってくるでしょう。現状は、まだまだ不十分と言わざるを得ないでしょう。