 |
|
| ISMSからみる情報セキュリティ対策 |
第1回:情報セキュリティマネジメントシステムとは?
著者:みずほ情報総研 青木 淳 2005/9/5
|
|
|
| 1 2 3 4 次のページ
|
|
| 情報セキュリティ事件・事故の影響
|
情報セキュリティマネジメントシステムの概要を説明する前に、まずはその重要性が叫ばれるきっかけとなった情報セキュリティに関する事件・事故について整理したい。
ご存じのように情報セキュリティに関する事件・事故については、このところ毎日のように新聞やWebニュースなどで話題として掲載されている。
特に個人情報に関する漏えい事件については深刻で、著名なショッピングサイトでも発生している。また7月の金融庁の発表によれば、これまでに350万人を超える顧客情報の紛失が明らかになり、情報紛失を公表した金融機関は87件にのぼっている。
こうした情報漏えいの原因はいったいどこにあるのだろうか。日本ネットワークセキュリティ協会では、情報セキュリティインシデントに関する調査報告を行っており、2004年度の結果を7月に公表している。その中で、情報漏えいの原因と経路についてのまとめたものを図1、2に示す。
図1:情報漏えいの原因
図2:情報漏えい経路
まず情報漏えいの原因をみると、そのベスト3が「盗難」「紛失・置き忘れ」「誤操作」となっており、その他についても「管理ミス」などの人的あるいは組織体制の不備によるものが大半であることがわかる。
2003年度では、「盗難」が7%、「紛失・置き忘れ」は2%であったが、これは今年の4月から施行された個人情報保護法が影響しており、個人情報を含んだPCやかばんが紛失や盗難にあって、情報漏えい事件として報道されるケースが多くなったためと考えられる。
次に経路について見てみると、そのベスト3は、「紙媒体」「PC本体」「FDなど可搬記録媒体」であるが、これは、漏えい原因の上位である「盗難」「紛失・置き忘れ」に起因するものである。2003年度では、WebやE-Mail経由も上位を占めていたが、紙媒体経由の漏えいが大幅に増えており、割合的に下がったものと考えられる。
今度はこうした情報セキュリティに関する事件・事故が企業に与える影響について考えてみたい。情報漏えいなどのセキュリティ事故・事故は発生した場合、表1のように企業は多額の補償費用を被害者に対して支払うことになる。
|
表1:情報漏えい事件における補償費用のインパクト
(画像をクリックすると別ウィンドウに拡大表示します)
|
情報漏えい問題が発生すると、損害賠償をはじめとする多額の補償費用が組織の運営を圧迫するばかりでなく、社会的信用が失墜して顧客が減少するなど、事業に対して大きなダメージを与えることになり、経営責任を問われる。あるいは組織の存続が危うくなる事態を招きかねない。また、経営者への責任についても、表2のように実際に厳しい追及があることがよくわかる。
|
表2:情報漏えい事件に対する経営者への責任追及
(画像をクリックすると別ウィンドウに拡大表示します)
|
以上のように、情報セキュリティに関する事件・事故については、企業の経営に関して非常に大きな影響を与えていることがわかる。また、個人情報保護法の施行によって、情報資産の価値がこれまでよりさらに高まり、企業もその対応に追われているのが現状であると思われる。
|
1 2 3 4 次のページ
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
|
|
|
|
|
|
