データ保護に向けた逆向きのアプローチ
こういった逆向きのアプローチによって規制環境における2つの重要な要件が満足される。1つ目は、該当情報の処理に用いられるプラットフォームやアプリケーションが変更されたとしても、技術的なアプローチの適切さが失われないようになるというものである。
この柔軟性によりIT部門は、システムやネットワークの改善要求が発生した場合、情報の保護に適切な対策を講じなかったと企業が指弾されるリスクを低減しながら、その要求を満足できる変更が行えるようになる。
2つ目は、従業員が情報資産に対して適切なセキュリティレベルを割り当てられるようにするための教育が実施されるというものだ。こういった教育は、企業が情報保護に関する法律の要件を満足させるうえで必要なこととなるはずである。
このようなアプローチを実践するには、情報保護について過剰とも言えるスタンスを基本にするということを受け入れなければならないのかもしれない。しかし、情報漏洩が起こった際に発生する高額の罰金や信用の失墜を考えた場合、過剰とも言えるスタンスが望ましい選択肢となるはずだ。
もちろん、企業は従業員にそういった意思決定をさせることなく、あらゆる状況下ですべての情報資産に対して最大限のセキュリティレベルを設定することもできる。しかし、そういった対策はシステムに多大な負荷をかけ、業務のさまざまな面に悪影響を及ぼすおそれもある。
なお、水際での防御は情報の保護によって不要になるというものではなく、包括的なセキュリティ戦略における重要な役割を担うものとすべきである。
情報の暗号化とデジタル署名の利用により、データの保管時や通信時であってもすべての利害関係者が必要とするセキュリティレベルを達成できる。これにより情報処理の際に、権限のない人間がアクセスしたり、改ざんしたり、公開したりすることがずっと困難になるうえ、侵入検知システムや侵入防止システムを導入することで、より強力な保護が実現できるはずだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。