|
|
|
経済産業省 |
情報セキュリティガバナンスシンポジウム開催 2005/12/20
|
|
|
|
セキュリティへの投資に対して正しく評価する仕組み
|
去る12月9日に経済産業省は情報セキュリティガバナンスシンポジウムを開催した。シンポジウムには500名を越す来場者があり、企業のセキュリティに対する関心の高さがうかがえる。
基調講演「IT社会に求めらるセキュリティガバナンス」の中で、内閣官房情報セキュリティセンター 情報セキュリティ補佐官 山口 英氏は「2004年度における情報漏洩事件の経済的損失は、報道発表されたものだけでも4,666億円にもなり、1件あたりの損害賠償額は13億円である」と語り、情報漏洩によって実際にリアルなロスが生まれていると強調した。山口氏がいうリアルなロスとは、投資家へ対しての損失のことをいう。
内閣官房情報セキュリティセンター 情報セキュリティ補佐官 山口 英氏
セキュリティへの投資は、企業の中にある個人情報を守るということだけでなく、市場や投資家に対しての信頼に結びつくと山口氏は述べ、その重要性を強調した。しかしセキュリティへの投資方法は、企業のコアビジネスに影響を与えるような投資ではいけないともいう。
セキュリティへの投資は感覚で行うのではなく、確固とした設定基盤に基づいて行い、企業が組織的に取り組んでいく必要がある。
また山口氏は「企業がセキュリティに対して、正しい投資をしていることを正しく評価する仕組みが必要だ」という。例えば政府の取り組みとして、情報システムなどの政府調達の競争参加者に対して、セキュリティ対策の評価を入札条件の1つにする(注1)ことがある。
最後に山口氏は「セキュリティガバナンスの意味と役割を理解し、実践することで、知見・英知を守っていきたい」と語った。
|
セキュリティ対策は自己満足せずに高い目標が必要
|
現在、4000万人の個人情報を抱えるヤフー株式会社では、個人情報やコンテンツ、ブランド価値を守るため万全な情報セキュリティ対策を行っている。
ヤフー株式会社 代表取締役社長 井上 雅博氏は、情報セキュリティに関して常に意識している点を以下のようにあげる。
- 必要以上に情報を収集・蓄積しない
- 性悪説を前提としたセキュリティ対策の策定
- ルールは厳し目に設定
- セキュリティのリスクを可視化
- 従業員が意識せずに守れるセキュリティを仕組み化する
表1:井上氏が常に意識していること
井上氏は「性悪説に則ったセキュリティ対策は、社員を守るものだ」と語る。つまり、社員がどうやっても情報を持ちだせない環境であれば、情報漏洩事件が起きたとしても、内部の人間を疑わなくてすむからだという。
ヤフー株式会社 代表取締役社長 井上 雅博氏
さらなるセキュリティ強化の方針として井上氏は「自己満足はセキュリティ対策を後退させる」と語り、各社が自らのセキュリティレベルの位置付けを把握し、高い目標を設定することが大切だと述べ、業界全体のセキュリティレベルの水準を引きあげることを目標とした。
|
コーポレートブランド価値から考えるセキュリティ投資
|
はじめに一橋大学大学院 商学研究科助教授 加賀谷 哲之氏は、セキュリティに関する新聞記事の検索件数を例にだし、セキュリティに対する関心が年々高まっている現状を述べた。
一橋大学大学院 商学研究科助教授 加賀谷 哲之氏
加賀谷氏はIT事故の影響をはかる方法として、株式時価総額とコーポレートブランド価値(注2)の2つの指標によって検証する必要があると語り、IT事故の影響は実際の損失だけに収まらず、コーポレートブランド価値の損失を考える必要があるという。
注2:
コーポレートブランド価値とは、顧客価値・投資家価値・従業員価値によって決定される指標である。
コーポレートブランド価値は実際の損失に比べて大きく下がり、例えば30億円の賠償金を支払った場合には、コーポレートブランド価値は100億円ほどの損失になるという。
加賀谷氏は「事故による教訓からのセキュリティ対策は、時間とともに希薄化する傾向があり、セキュリティ対策はより組織的に行うことが必要だ」と述べた。
|