「“コンプライアンス”という意味を、もう一度きちんと理解して、企業内の情報セキュリティポリシーを策定し直さなければならない時期にきているといえるだろう。セキュリティの基本に立ち返ることが重要になる」――こう話すのは、ラックのサイバーリスク総合研究所 研究センター センター長、新井悠氏だ。
個人情報保護法が施行された2005年を前後して、コンプライアンスブームともいえる状況が一時期あり、プライバシーマークやISMSを取得する企業が爆発的に増加した。たとえば、情報セキュリティマネジメントシステム(ISMS)認証取得組織数は日本が最も多く、2010年6月25日現在、3538の組織が取得している(*1)。
しかし特に近年では、ISMS取得企業は増えているにもかかわらず、情報漏えいの件数も年々増え続けている。NPO日本ネットワークセキュリティ協会(JNSA)の調査では、情報漏えい件数は、2009年に1500件を超えることが予測されている。さらに同じ調査では、想定される損害賠償総額が1545億5887万円に上ると報告されている(*2)。
新井氏は、「多くの企業でコンプライアンスが形骸化してしまっていることが、こうした状況を生み出している原因のひとつだ」と言う。また、コンプライアンスや情報漏えいに関わる問題が、複雑化、グローバル化していることも、企業におけるコンプライアンス対策を難しくさせている要因のひとつだという。
(*1)認証取得組織検索と関連情報
(*2)【速報版】2009年上半期 情報セキュリティインシデントに関する調査報告書
コンプライアンスの複雑化、グローバル化が要因
ラックでは、コンサルティングからシステム構築、診断サービス、運用管理サービス、教育・資格取得支援サービスまで、セキュリティに関するさまざまなサービスを提供している。その中のひとつの取り組みとして「サイバー救急センター(緊急対応/フォレンジック調査 サイバー119)」がある。
サイバー救急センターでは、これまで数多くの事件や事故に対応してきた経験と実績、ノウハウを生かし、「機密情報が漏えいしているかもしれない」という状況から、情報が漏えいしてしまい「大至急対応が必要」な段階まで、問題を抱える企業を支援する緊急対応サービスを提供している。
このサイバー救急センターに、ある小売業の会社から連絡があった。
