2005年は4月に個人情報保護法が施行され、個人情報に振り回された1年だった。会社から貸与されたPCの紛失から、インターネットを経由した不正なアクセス(SQLインジェクションや専用ツール)で個人情報を引き出された。米国ではクレジットカードの情報を取り扱う会社から個人情報が大量に盗まれ、被害は日本のカード利用者にも広まった。
また、ホームページに細工を施したフィッシング詐欺、スパイウェアによって金融機関の口座にアクセスできるIDとパスワードが盗まれる事件も起きた。技術的な興味に対する高まりからマルウェア(悪意のあるソフトウエア)が作られた時代は終わり、金儲けの手段として不正なツール(キーロガー、スパイウエアなど)が組織的に作られ、使われる時代に入った。
これを裏付けるように、正規の利用者の許可なくリモートコントロール可能な機能を組み込みだ大量のPCをネットワーク化させたボットネットは、マルウェアの配布に使用され問題となった。
悪い奴らに振り回された2005年だったが、2006年はセキュリティの有効性をさらに強く求められる年になるだろう。それを裏付けるように、2005年に被害に遭ったケースを調べると、幾つかのパターンを確認することができる。
パターン1:セキュリティに関係する責任者を任命(個人情報保護責任者、情報セキュリティ責任者など)
パターン2:外部委託先のセキュリティ面の管理を強化(外部委託先との契約書の見直し:個人情報の取り扱い、守秘義務等)
パターン3:認証制度を活用し、認証取得(プライバシーマーク、ISMS、クレジットカード業界向けの制度など)
パターン4:セキュリティ製品を積極的に導入している(暗号化ソフトウエア“ハードディスク、特定ファイル”、バイオメトリックス認証装置)
被害にあった企業では、セキュリティを確保している企業から支援を受け、安全性を確保している。
パターン1(セキュリティ責任者の任命)では、責任者が任命されていないと、社長が全責任を負うことになる。このため、業務として位置づけ、責任を明確にし、担当者を割り当てられた。
パターン2(外部委託先のセキュリティ面の管理強化)では、外部委託先から個人情報が漏えいする事件によって厳重に管理されるようになった。米国のクレジットカードの情報が漏えいした場合では、盗まれた企業名を覚えている人はいない。しかし漏えいしたカード会社の名前は記憶に残っているだろう。
知名度が低い外部委託先で個人情報漏えいが起きるよりも、知名度の高い企業の個人情報が外部委託先で漏れると、ニュースとして報道される典型的な事例である。日本企業でもグループ会社間では明確な契約書を結ばれていないケースが多く、2005年になってから取引先の契約書を見直し、個人情報の管理、監査権限を含めて契約し直した企業も多かった。
パターン3(認証制度の活用)では、プライバシーマーク制度の登録事業者数が急増した。その一方で、Pマーク認証取得した人材派遣会社から個人情報が漏洩する事件も発生し、法律、マネジメント面の強化だけでは不十分なことも裏付けられた。また、クレジットカード業界では、業界団体が新しい枠組みをつくり、動き出した。パターン4(セキュリティ製品の導入)は、事件が発生してから緊急避難的に導入され、導入効果を確認してから全社レベルで採用されるケースが目立った。
被害に遭遇した企業を調べた結果、個人情報を漏えい、不正アクセスなどの対策を講じた企業の立ち直りは早く、経営への影響は少ない。不正アクセスによって個人情報が漏えいされたカカクコムの場合、事件発生前と後では株価は大きく上がった。ニュースで取上げられる度に、注目されて株価は一時的に低迷したが、セキュリティ対策の有効性が認識されると一転して評価された。
2006年も個人情報の漏えいトラブルは続くだろうが、問題を起こした企業への対応は厳しくなることは間違いない。そのひとつにセキュリティ認証基準の改訂がある。プライバシーマークの認証基準である国内規格JISX15001は制定されて5年以上が経過しており、規格案は2005年12月にパブリックコメントを募集している。
国内事業者に限定されていたISMS認証制度も、規格がISO化されたことによって、2006年から国境を越えた事業者であってもISO27001の認証取得が可能となる。企業側も、新しい認証基準への対応が迫られるので、楽観はできない。その中でもセキュリティ対策の有効性を測定し、評価する方法を確立していない企業は、新たな手法を模索することになる。
また、新たな動きとしては、従来のセキュリティ制度にも2006年には大きな見直しが出てくる。新しい動きに対応できない認定機関、指定機関、審査機関は、業務を外部に移管、営業譲渡、撤退を余儀なくされるのは2006年春頃になる。さらに日本版SOX法(企業改革法)も具体化してくる。
米国の企業改革法(SOX法)に対処するために、米国企業は膨大なIT投資を求められて苦労した。これが2006年には夏ごろから日本企業にも影響を与えてくる。いずれにせよ、2006年は、セキュリティ対策を選択するにも、有効性が求められる1年になるだろう。