データの保護を考える場合、外部ネットワークとの境界に関所を設けるという対策だけでは、もはや法律上の義務を全うしたことにならない。IT部門はもっと違ったアプローチを導入する必要に迫られている。
個人情報の保護は感情的な問題をはらんでおり、長きにわたって最高情報責任者(CIO)の懸念となっている。しかもこの問題は、英国におけるデータ保護の監視団体である情報コミッショナー事務局(ICO)が、個人情報保護法(Data Protection Act)に違反した場合に50万ポンド(80万ドル)以下の罰金を課す権限を2010年に得たことで、より大きな懸念となった。
とは言うものの、慎重な取り扱いを要する業務情報や機密情報に影響がおよぶ違反行為については、あまり注目されていない。こういった行為により、企業が契約違反で訴えられたり、責任者が信認義務の不履行で処分される可能性もあるということを考えた場合、これは驚くべきことである。

昨今の攻撃を見た場合、ネットワークを水際で防御するという戦略は、ほとんどのネットワークにとって十分ではないことが実証されている(提供:Shutterstock)
英国の個人情報保護法は8つの理念に基づいており、個人情報を保護するための「技術的かつ組織的に適切な対策」をとるよう企業に求めている。
その一方で、慎重な取り扱いを要する業務情報や機密情報に適用される機密保護法は、判例に基づく慣習法となっているため成文化されてはいない。従って、理念自体は平易な文章で構成されているものの、一般的にはきちんと把握しづらいものとなっている。
機密情報や個人情報の保護にこういった手法を採用することは理にかなっている。これによって変化の激しいテクノロジ業界にあっても、法の柔軟性と適宜性が維持されるわけである。
その結果、監督機関と執行機関は、適切な保護がなされているかどうかを判断する際に、極めて主観的とも感じられる断固とした判断を下す必要に迫られる。
またこの手法には、後々振り返って考えると比較的容易に適用できるものの、要件を導き出す際にはそう簡単に適用できないという問題が内在している。さらに、テクノロジの急速な変化のせいで、現時点で満足できるソリューションが6カ月後にはまったく不適切なものになってしまう場合もあるという問題も存在している。
これらの要因によって、CIOはさらなるジレンマに悩まされることになる。そして、そういったジレンマは特に、情報のモバイル化を推し進めようとしたり、テクノロジの収斂を可能にしたり、従業員個人が持つ機器の使用を許可するBYODフレンドリーなポリシーを策定するというニーズの高まりに直面する際に顕著なものとなる。CIOは、情報を保護するための基本的なアプローチを再検討するよう求められるのだ。