企業が抱える問題

「情報システム部門のスキルレベルが著しく低下している企業が増えています。情報システム部門が、単なる運用・保守といった"警備員"的な役割しか果たしていない企業も少なくありません」

確かにPCの購入や資産管理など、「これは総務部門の仕事では?」と思われるような仕事を任されている情報システム部門も多いと聞きます。

ネットエージェント株式会社企画部広報担当部長 中山貴禎氏

「ウチはシステム担当が100人います!と言われたって、平均的な人たちが100人いるだけではダメで、むしろ"できる人"がひとりいる状況の方がよほど効果的なことも多いのです」とし、多くの(特に大きな)企業における情報システム部門のあり方について疑問を投げかけています。つまり、セキュリティという観点では、「規模の論理」は通用しないというわけです。

また中山氏は、企業の情報漏えい事故が絶えない原因の一つとして、「対策する=制限する」という偏った考え方で情報セキュリティ対策が運用されていることがある言います。そして、そのような考え方を持つ企業ほど、結局「社員のモラルに依存する」という話になるそうです。

「そもそも、社員が快適に仕事ができない状況にしておいて"社員のモラルに依存する"というのは、無理があるとしか言いようがありません」

IT業界が抱える問題

中山氏は、企業の情報セキュリティ対策に課題が多い現状に関して、IT業界にも原因の一端があるという考えを示してくれました。

「今のIT業界は、"サプライサイド指向"という発想から抜けきれていません。最近は"顧客指向"という掛け声がよく聞こえてきますが、他の業界から見たら当たり前のことです」

ITベンダーは技術(やスペック)をアピールするばかりで、実際の「運用」まで考えられていない開発になりがちであると中山氏は指摘しています。

「機能の必要性や運用の利便性、そして最も重要な『それで何ができる』という点を軽視しがちだったのです」 さらに同氏は、このような状況はITベンダーだけではなく、産・学・官がまさに三位一体となって変えていかなければならないと言います。

「このままだと、多くのユーザーに『IT業界はダメなんじゃないか?』と思われてしまうでしょう」

「気持ち」への配慮が重要

では、具体的な情報漏えい対策として有効な手段は存在するのでしょうか? この問いに対して中山氏は「企業によって情報セキュリティのポリシーはまちまちですので、一元的に"こうすれば大丈夫"という答えはありません」と前置きしつつ、「当然のことを当然のごとく継続的に実施すればいいのです」という明快な答えを返してくれました。

「ルールでは禁止されていても、実際にはデータを持ち帰って仕事をする社員がいなくならないなど、この"当然のこと"を実現するのは、思っているほど簡単ではありません」

それでも中山氏は、このような状況を改善する方法はあると言います。

「すべてを守ろうとするのではなく、"守るべきもの"に対して優先順位を付けることが重要です」

結局、ルールを作るのも守るのも"人"であり、そこに「気持ち(メンタル)」の存在があることを忘れてはならないということだそうです。

確かに、多くの企業で実施されている「情報セキュリティ対策」は、人の気持ちまで配慮しているとは言い難い状況にあります。多くの企業にインターネットが導入されるようになってから十数年が経とうとしています。しかし、今回の取材を通じて、ことITに関して企業は「まだインターネットという道具を使い始めて十数年しか経っていない」未熟な子供であり、本当の意味での情報セキュリティ対策が実現するにはまだ時間がかかるのかもしれないと感じざるを得ませんでした。

執筆者プロフィール

中康二(Koji Naka)
オプティマ・ソリューションズ株式会社 代表取締役
多くの企業において、プライバシーマークの導入支援を行っている個人情報保護のプロ。著書「新版 個人情報保護士試験 完全対策」(あさ出版)、「〈図解〉個人情報保護法 - 中小企業・個人事業者にも役立つビジュアル対策マニュアル」(共著、朝日新聞社)など

『出典:システム開発ジャーナル Vol.9(2009年3月発刊)
本稿は原稿執筆時点での内容に基づいているため、現在の状況とは異なる場合があります。ご了承ください。