情報漏えいがもたらす経営危機を、どう回避するか? 監査法人とトレンドマイクロが語る、企業の実情と取るべき対策

2010年に発生した情報漏えいの事案は1679件。 それに伴う損害賠償額は、平均想定で1件あたり7556万円。 これはNPO法人の日本ネットワークセキュリティ協会が発表した調査結果だ。(2010年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~) 大規模な漏えいが企業経営に与える影響は大きい。クラウドコンピューティングの普及や事業継続計画の見直しなどに関連し、セキュリティに関する意識は以前より高まっているのに、なぜ深刻な漏えい事故は依然として後を絶たないのだろうか。その理由と企業が取るべき方策を探るため、特別対談を行なった。  対談するのは、企業の会計情報を預かる立場であり、経営アドバイスも行うアルテ監査法人の大原達朗代表社員と、情報漏えい防止ソリューションを手がけるトレンドマイクロの樋栄健一氏だ。

間接的な被害が企業に大きなダメージ


アルテ監査法人 代表社員
大原達朗氏

樋栄健一氏(以下、樋栄): まずは情報漏えいが企業に与える影響について、大原さんは監査法人の立場からどう思われますか?

大原達朗氏(以下、大原氏): 直接的な金銭面の損害だけでなく、企業全体や製品ブランドのイメージ低下など、間接的な被害が非常に大きいですね。
その原因としては、

(1)内部関係者が故意に引き起こしたもの、

(2)外部の悪意ある第三者が盗み出したもの、

(3)社員の過失で生じる紛失

が挙げられます。紛失の場合は悪用されないケースもあるので、運が良ければ直接的な金銭面の損害はゼロに抑えられます。ただ間接的な被害は避けられません。もし紛失を隠ぺいし、それが発覚すればより大きなダメージを負うので、最近は内部の情報漏えいが発覚した段階で、すぐにリリースや謝罪会見で公表します。


トレンドマイクロ マーケティング本部
エンタープライズマーケティング部
エンドポイントマーケティング課
課長 樋栄健一氏

樋栄: 確かに直接的な被害がなくても、「情報漏えいにつながる盗難や紛失が発生」という事実だけでブランド・エクイティが下がってしまいますね。ブランドイメージは数字的に表しにくいものですが、長期的に考えると企業にとってかなりの損失になるでしょう。あとは、事後の対応も重要でしょうか。放置すれば損失は増える一方ですし、真摯に取り組み続けることで逆に評価されるようなケースもありますので。いずれにしろ、センシティブな問題であることに変わりはありませんね。

大原氏: また企業で情報漏えいが発生した際、社長は事情説明とともに謝罪会見を行いますが、ここで情報システム部門ではなく「社長」が謝罪する意味をもう一度考えてみると良いですね。情報漏えいが発生したことの責任はどこにあると、少なくとも世間一般では捉えているのか。

以下のダイジェスト:

社長にも要求されるセキュリティの基礎知識
・情報漏えい対策に求められる4要素とは?
・システムが情報漏えいを検出、ブロックする
内部監査だけで情報漏えいは防げない
・いくらシステムによる制限を強化しても、誰かはアクセス権を持つ
・社員が自分の会社を、そしてトップを“好きになる”という対策
現状に合ったレベルの切り分けと製品選び
・システム面に加え、ヒューマン的な努力も
・情報システム部門の助言は必須
・トレンドマイクロの回答
提供:トレンドマイクロ株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2011年10月31日