情報セキュリティを確保するためには、技術だけでは確保できません。技術、運用・管理、法制度を統合的に実施して確保する必要があります。これを情報セキュリティを支える3要素−私は三位一体と言っています(図−2)。
 |
| 図―2 |
3、4年前からアメリカでは情報セキュリティの方向性として、まずウィルスなどに対して、脆弱性の存在に対してきちんとパッチマネジメントを行う。
9.11(同時多発テロ)のケースのようなシステム全体が物理的に壊されてしまう重大な脅威に対して、きちんと業務継続計画を立ててデータのバックアップを取るなり、システムがきちんと業務を為し得るように準備をしておく。
2001年のエンロン、ワールドコムなどの増大する管理不備の問題に対しては、02年にサーベンス・オクスリー(SOX)法ができて内部統制が非常に重要になりました。
ただし、SOX法に対応するためにアメリカ企業では、年間平均約720万ドル(約8億円)の費用がかかるといわれています。そのため上場をやめてしまった企業もあるようです。年間5〜10億円かかるのならば、非上場になればSOX法に従う必要がないという、1つのリスクヘッジかもしれません。日本でも、いわゆる日本版SOX法が成立しましたので、かなりの覚悟が必要かもしれません。
SOX法に関するアメリカの各業界の反応としては、セキュリティへの関心が高まってきたことと、セキュリティに関しては技術よりコーポレートガバナンスに重点が移ったということです。ですから、情報セキュリティは技術よりコーポレートガバナンス、あるいは内部統制システムという考え方をすべきではないかということを示していると思います。アメリカでは以前から情報セキュリティとはマネジメントの問題だという考え方が非常に強かった。日本はやっと個人情報保護法が出てきて少し変わってきた感じもしますが、まだまだ技術だと考えている方が非常に多い気がします。
そのマネジメントの考え方の一つが、情報セキュリティマネジメントシステム−ISMSです。ISO関連では27000sとご理解いただくとよいと思います。ISMSは、コンピュータや情報資産に対してマネジメントシステムを確立することで、PDCAサイクルとプロセスアプローチという考え方を採用して取り組むこととしています。ただし、往々にして忘れがちなのが、これに時間軸を加えて考える必要があることです。環境は時間の経過によって変わってきます。環境が変わることによってPDCAサイクルを回さないといけないという考え方がわかりやすいと思います。簡単に言えば、時間によって環境が変わってきたら、それに対応する仕組みづくりをしなければいけないということです(図−3)。
 |
| 図―3 |
このISMSに関して、2004年8月のコンピュータ雑誌に、「ISMSの認証を受けたからといって個人情報保護法対策をすべてカバーできると考えるのは不勉強だ。ISMSでは80%ぐらいしか個人情報保護法対策は考えられない」という主旨の記事が掲載されました。これに反論を試みようと思います。
ISMSの詳細管理策に、「データの保護及び個人情報の保護に関しては関連法令に従って個人情報を保護するために、管理策を適用すること」とあります。この関連法令とは何かです。この法令に法律や省令しか入らないということであれば、ガイドラインも入るように「関連法令等」と「等」を加える。ISMSでは、この詳細管理策の部分を変更してもよいことになっています。そして、この「等」にOECDの「プライバシー保護と個人データの国際流通についてのガイドライン」を加える。これは1980年にOECDの理事会が勧告したものです。日本の個人情報保護法はこれを基に制定されたといってもいい。勧告は1980年ですが、すべて5年単位で現状に適応しているか見直しています。ですから、日本の個人情報保護法は1980年のOECD理事会勧告を基にしているから、現在のコンピュータ時代には適切ではないというのはおかしい議論です。OECDのすべてのガイドラインは、見直しをして適切でなければ変更します。適切だと考えれば、そのままです。
|
|
