• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP

5分で読める「情報管理の要諦5点」

経営者がやるべきことは何か

2014年7月17日(木)

  • TalknoteTalknote
  • チャットワークチャットワーク
  • Facebook messengerFacebook messenger
  • PocketPocket
  • YammerYammer

※ 灰色文字になっているものは会員限定機能となります

無料会員登録

close

 「うちは大丈夫か」「情報管理の体制を今すぐ見直せ」。7月に表沙汰になった教育事業会社の個人情報大量漏洩事件を契機に、経営者や代表者がこう指示した企業や組織が沢山あるはずだ。

 もっとも「再点検なら2月に済ませた」という企業が結構あるかもしれない。2月にも一種の情報漏洩事件が起きたからだ。地方銀行でATM(現金自動預け払い機)の維持管理を任されていた人物がキャッシュカードを偽造し、他行の口座から預金を盗み出した一件である。

「徹底監視せよ」と命じるだけではかえって害が

 7月の件も2月の件も、警察の捜査が進むにつれ、新聞の社会面などで犯罪の手口や被害状況が少しずつ報じられていった。経営者や代表者からすると毎朝新聞を開くたびに「後手に回った情報保護」「外注先から漏洩」「犯行を認める供述」といった見出しが目に入る。「自分の組織で同じことが起きたら」と心配するのは当然だ。

 ただし「似た事件を起こすな」「とにかくしっかりやれ」と言うだけなら誰にでもできる。「情報管理」の全体像を頭に入れ、その上で「当社は今ここに力を入れる」と指示してこそ、組織の最高責任者と言える。「情報を絶対に漏らすな」「性悪説に立ち徹底監視せよ」と闇雲に命じても効果はなく、むしろ組織に害をもたらす。

 以下では情報管理の要諦を5点にまとめて紹介する。1点1分前後で読める記述にしたので5分間ほど割いていただければ情報管理の全体像を把握できる。

今の技術で相当守れる~技術面の安全対策

 コンピューターの中にある情報(デジタルデータ)をどう守るか。技術の進歩により書類の形では持ち出せなかった大量の情報を簡単に名簿業者などに引き渡せる。しかし情報へのアクセス制御やデータの暗号化といった、情報を守る技術も日進月歩であり、情報利用者の使い勝手に悪影響をさほど与えずに、重要な情報を保護できる。7月の事件に関して、情報を格納していたデータベースを統合したため盗みやすくなった、という報道があったが統合しても保護は可能である。

 守る技術を取り入れるには投資をしなければならない。まずは情報システム責任者に「技術面でどのような安全対策を講じているのか、今後どう見直していくべきか、私に分かる言葉で説明してほしい」と依頼するとよいだろう。

コメント7件コメント/レビュー

結局著者も、五十歩百歩で、『「似た事件を起こすな」「とにかくしっかりやれ」』に毛が生えて『信頼できる人間』を、しかも、「情報管理責任者には技術も知識も不要」、これは「秘書がやりました」「彼の責任です」とする日本での悪習そのもの。更に、責任は負わせるが、責任を果たす為の権限を十分に与えず報酬も少ない。とするのがオチ。これが当事件の派遣社員が、それを実行出来る状況と動機と機会を与えるのと同じで経営者の責任回避以外の問題は何も解決しません。破滅志向というヤケクソ、や恨みによる犯行では罰則は心理的ブレーキにならない事も有る。情報を扱う者に意義や意識に責任感に技術まで無い者に任せては駄目だ。そういう意味でSI事業者と言いつつ失格のニセモノばっかりなのだ。日本には。そしてそれは経営者の意識、認識、責任感、コンプライアンスの欠如が最大の元凶。○○○メソッドと言われたサイバーノーガード戦法の時から何も学んでいない。(2014/07/17)

「経営の情識」のバックナンバー

一覧

「5分で読める「情報管理の要諦5点」」の著者

谷島 宣之

谷島 宣之(やじま・のぶゆき)

日経BP総研

一貫してビジネスとテクノロジーの関わりについて執筆。1985年から日経コンピュータ記者。2009年1月から編集長。2015年から日経BP総研 上席研究員。

※このプロフィールは、著者が日経ビジネスオンラインに記事を最後に執筆した時点のものです。

日経ビジネスオンラインのトップページへ

記事のレビュー・コメント

いただいたコメント

結局著者も、五十歩百歩で、『「似た事件を起こすな」「とにかくしっかりやれ」』に毛が生えて『信頼できる人間』を、しかも、「情報管理責任者には技術も知識も不要」、これは「秘書がやりました」「彼の責任です」とする日本での悪習そのもの。更に、責任は負わせるが、責任を果たす為の権限を十分に与えず報酬も少ない。とするのがオチ。これが当事件の派遣社員が、それを実行出来る状況と動機と機会を与えるのと同じで経営者の責任回避以外の問題は何も解決しません。破滅志向というヤケクソ、や恨みによる犯行では罰則は心理的ブレーキにならない事も有る。情報を扱う者に意義や意識に責任感に技術まで無い者に任せては駄目だ。そういう意味でSI事業者と言いつつ失格のニセモノばっかりなのだ。日本には。そしてそれは経営者の意識、認識、責任感、コンプライアンスの欠如が最大の元凶。○○○メソッドと言われたサイバーノーガード戦法の時から何も学んでいない。(2014/07/17)

書いてあることは正しいと思うけど、なにか足りないと感じる。データの流出に対してトップが責任者であるという自覚を持つことが一番大切なことだろう。セキュリティ担当者はとにかく自分に責任が及ばないようにルールを決めるだけだからだ。結局担当者にとってはデータが守られるかどうは重要ではない。データが流出した時に自分の責任にならないことが重要。解決策は守れないセキュリティルールを作っておくこと(複雑なルールや仕事が非常にやり難いルールがあるところは全部これ)。流出が起きたらルールを守らなかった人たちの責任で終わり。だから、トップがデータ流出を防ぐにはどうすればいいか真剣に考えなくてはいけない。経営責任を取らなくてもよい人は責任者になれない。▽コメントにもあるが、情報を扱う人が持ち出したら長期的に損になるような待遇を与えておくことは重要だと思う。過去の例をみるとほとんどそこが動機になっているようだ。今回も同じに感じる。まあ借金があったみたいだけど、そんな人を担当者にしているところで失敗していると思う。▽情報を扱うところに厳重に鍵をかけてもあまり役に立たない。コンピュータやUSBメモリの持込を制限したところで、データを持ち出そうと悪意を持ってあたればたいてい突破できてしまう。(2014/07/17)

情報安全対策は、「仕組み」と「人」の2つある。記事に書かれている『「似た事件を起こすな」「とにかくしっかりやれ」と言うだけ誰にでもできる。』は読んで、思わず笑ってしまった。多くの会社の実態は、恐らくこんな物なのだと思われる。情報漏洩が問題にされ出してから、既に10年以上の年月が流れているし、情報漏洩の保険まで売られている。経営者が「担当者任せ」にしている様では変わり様が無い。情報部門の責任者もサービスを受けるIT企業に同じ事を繰り返しているだけなのだろう。先ずは自社で取り扱う情報の重要度を分類する事から始めなければならない。少なくとも3段階、出来れば5段階は欲しい。さらに、種類としても分類が必要で、最上位のセキュリティーレベルに決定したデータは、「何処からでもアクセス可能」を止め、特定な場所に限定する。そこでは、データのダウンロードやコピー、メール等も使えない環境で、入室時には電子デバイスは一切持ち込み禁止で探知機も装備する。最上位のセキュリティーレベルのデータ取扱は、自社社員の他、機密漏洩時等の責任に関しても損害賠償を含めた契約を取り交わした取引先の社員に限定し、下請けや派遣労働者の入室は認めない。今回、社長成り立てとはいえ、ベネッセの社長が個人情報漏洩で謝罪した際、「情報レベルは低いので賠償は考えていない。」と早々と声明を出した事は、情報に対する「無知」を物語っている。私が現役時代勤めていた外資系の会社では10年以上も前から、課員の緊急連絡先一覧を作るのでも申請し、どのストレージに保管しているかを登録し、毎年その必要性の見直しをやらされていた。紙にした場合、コピーを渡した人の名前まで記録していた。当時は「面倒な!」とは思ったが、この程度の事から確り対応していないと、守りが甘くなってしまうのだろうと、自らを納得させていた。あれから10年経った今、国内でどれ程の企業で同様の事が実行されているか。多分、1割にも満たないのだろう。要は、経営者の自覚が足りないのだ。ITを便利に使ったり、経営にプラスになる事には出費を惜しまなくても、直接的にはプラスの要素を持たないセキュリティー対策には最低限の事しかやらない。被害者がどんどん損害賠償で大金を請求する事が頻発すれば、経営者の目も覚めるのだろうが。日本のIT軽視にも困ったものだ。(2014/07/17)

ビジネストレンド

ビジネストレンド一覧

閉じる

いいねして最新記事をチェック

閉じる

日経ビジネスオンライン

広告をスキップ

名言~日経ビジネス語録

日本の経営者は、経験を積んだ事業なら 失敗しないと思い込む傾向がある。

三品 和広 神戸大学教授