2010年に発生した情報漏えいの事案は1679件。 それに伴う損害賠償額は、平均想定で1件あたり7556万円。 これはNPO法人の日本ネットワークセキュリティ協会が発表した調査結果だ。(2010年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~) 大規模な漏えいが企業経営に与える影響は大きい。クラウドコンピューティングの普及や事業継続計画の見直しなどに関連し、セキュリティに関する意識は以前より高まっているのに、なぜ深刻な漏えい事故は依然として後を絶たないのだろうか。その理由と企業が取るべき方策を探るため、特別対談を行なった。 対談するのは、企業の会計情報を預かる立場であり、経営アドバイスも行うアルテ監査法人の大原達朗代表社員と、情報漏えい防止ソリューションを手がけるトレンドマイクロの樋栄健一氏だ。
間接的な被害が企業に大きなダメージ
アルテ監査法人 代表社員
大原達朗氏
樋栄健一氏(以下、樋栄): まずは情報漏えいが企業に与える影響について、大原さんは監査法人の立場からどう思われますか?
大原達朗氏(以下、大原氏): 直接的な金銭面の損害だけでなく、企業全体や製品ブランドのイメージ低下など、間接的な被害が非常に大きいですね。
その原因としては、
(1)内部関係者が故意に引き起こしたもの、
(2)外部の悪意ある第三者が盗み出したもの、
(3)社員の過失で生じる紛失
が挙げられます。紛失の場合は悪用されないケースもあるので、運が良ければ直接的な金銭面の損害はゼロに抑えられます。ただ間接的な被害は避けられません。もし紛失を隠ぺいし、それが発覚すればより大きなダメージを負うので、最近は内部の情報漏えいが発覚した段階で、すぐにリリースや謝罪会見で公表します。
トレンドマイクロ マーケティング本部
エンタープライズマーケティング部
エンドポイントマーケティング課
課長 樋栄健一氏
樋栄: 確かに直接的な被害がなくても、「情報漏えいにつながる盗難や紛失が発生」という事実だけでブランド・エクイティが下がってしまいますね。ブランドイメージは数字的に表しにくいものですが、長期的に考えると企業にとってかなりの損失になるでしょう。あとは、事後の対応も重要でしょうか。放置すれば損失は増える一方ですし、真摯に取り組み続けることで逆に評価されるようなケースもありますので。いずれにしろ、センシティブな問題であることに変わりはありませんね。
大原氏: また企業で情報漏えいが発生した際、社長は事情説明とともに謝罪会見を行いますが、ここで情報システム部門ではなく「社長」が謝罪する意味をもう一度考えてみると良いですね。情報漏えいが発生したことの責任はどこにあると、少なくとも世間一般では捉えているのか。
以下のダイジェスト:
- 社長にも要求されるセキュリティの基礎知識
- ・情報漏えい対策に求められる4要素とは?
- ・システムが情報漏えいを検出、ブロックする
- 内部監査だけで情報漏えいは防げない
- ・いくらシステムによる制限を強化しても、誰かはアクセス権を持つ
- ・社員が自分の会社を、そしてトップを“好きになる”という対策
- 現状に合ったレベルの切り分けと製品選び
- ・システム面に加え、ヒューマン的な努力も
- ・情報システム部門の助言は必須
- ・トレンドマイクロの回答