ITの急速な社会経済への浸透により、情報とその活用が国や企業の競争力に大きな影響を及ぼす情報経済化が進行しており、現代社会はかつてないパラダイムシフトの中にある。わが国は、内閣のIT戦略本部で決定されたe-Japan戦略において、2005年に世界最先端のIT国家になることを目標として定め、集中的な取組みを行ってきた。その結果、高速・超高速インターネットの利用環境の整備目標を早期に達成するとともに、ITの利活用面における基盤整備も進みつつある。今後、このIT基盤を活用し、国民が豊かで安心できる生活を実現し、競争力のある高付加価値産業を育成していくうえで、安全で信頼性の高いITの利用環境の整備とITを創造し活用できる高度な情報通信人材の育成等が克服すべき大きな課題として残されている。
情報セキュリティをめぐる課題に関し、日本経団連は、2003年3月に、「新IT戦略に関する提言」の添付報告書「安心・安全で自由なネット社会を目指して」#1を取りまとめ、安心・安全なネット社会を実現するために企業、政府、個人が果たすべき役割に関する経済界の考え方を提示した。
その後、電子商取引が年々普及の度合いを増し、電子政府、通信のIP化、情報家電のネットワーク化等が進展するなど、インターネットをはじめとするITの経済・社会インフラ化が進み、情報セキュリティを取り巻く環境は大きく変化している。また、本年4月の「個人情報の保護に関する法律」(以下、「個人情報保護法」と記す。) の全面施行等により、コンプライアンス(法令遵守)としての情報セキュリティの重要性は増大するものと思われる。
さらに、国際的にも、同時多発テロ以降の米国におけるテロへの危機意識の高まりや、それを契機とした米企業におけるBCP(Business Continuity Plan:事業継続計画)の改善や策定推進、エンロンの企業不正会計事件を契機としたSarbanes-Oxley法#2の成立等もあり、情報セキュリティ対策は国のIT化推進の要として一層重要性を増すとともに、企業にとっても、その信頼、ブランド、国際競争力等に大きな影響を及ぼしつつある。
そこで、日本経団連では、現在までの情報セキュリティをめぐる環境変化を踏まえつつ、企業の情報セキュリティのあるべき姿について、見解を取りまとめることとした。
企業に関わる従来型の情報セキュリティの事故では、外部からの企業ネットワークへの侵入による情報等の改ざんに見られるように、企業は被害者であった。しかし、最近の個人情報の漏洩事故では、それが偶発的であるか意図的であるかにかかわらず、当該企業は加害者として扱われ、流出個人情報の顧客等に被害を及ぼすのみならず、社内の情報管理や社員教育のあり方について、消費者、ビジネス・パートナー、世論から厳しい批判を受け、事業の継続や株価にも影響が及ぶ事例が増えている。
重要な情報の電子化とインターネットの普及、雇用面における人材の流動化、複数の会社や委託先がネットワークに繋がって協力して事業を行う形態の増加等により、重要情報の流出のリスクは増していると考えられる。
今日、情報セキュリティは、技術課題からコーポレート・ガバナンスの課題になり、さらに企業の社会的責任やコンプライアンスの課題となっている。日本経団連の「企業行動憲章」(2004年5月18日改定)では、企業が遵守すべき行動10原則の中で、「社会的に有用な製品・サービスを安全性や個人情報・顧客情報の保護に十分配慮して開発、提供し、消費者・顧客の満足と信頼を獲得する」ことを会員企業に求めている#3。情報セキュリティの事故がもたらす社会的な影響が大きくなりつつあることを踏まえ、企業においては、経営トップ自らが情報セキュリティ対策をコーポレート・ガバナンスの一環と捉えるとともに、企業の社会的責任として、自主的な取組みを進めていくことを基本とすべきである。
これまでの企業の情報セキュリティ対策は、事業を継続して顧客から信頼を得るための、任意努力の対象であった。しかし、個人情報保護法や不正競争防止法の改正により、情報セキュリティはコンプライアンスの対象となるとともに、企業間の契約等においても、情報セキュリティに関する第三者機関の認証を求めるケースが増えている。また、国際的にも、情報セキュリティに取り組んでいない企業はパートナーシップから排除される状況が見られる。
しかし、発想を転換すればこれは、情報セキュリティ対策を着実に実行している企業は、ビジネスパートナーや顧客からの信頼を得ることによって、より機微な情報を入手することができ、情報管理と情報活用を両立させて、競争上の優位を確立できるという捉え方もできる。情報セキュリティの確保は、費用対効果の明確でないコストと認識されることが多かったが、情報セキュリティ対策を肯定的に捉え、攻めの経営に活かすことが重要である。
また、情報セキュリティに取り組んでいる企業の中には、セキュリティ対策の強化と業務プロセスの変革を同時に達成した事例もある。セキュリティ対策を強化すると、業務プロセスの見直しが行われ、不要な業務が浮き彫りになり、無駄のない業務プロセスの構築も可能となる。このような変革を実現するうえで、既存の業務プロセスに固執する内部の抵抗を抑えることも必要であり、情報セキュリティ対策には経営トップの理解と強いリーダーシップが必要不可欠である。
2002年に改定されたOECD情報セキュリティガイドライン#4では、「セキュリティ文化」という概念が初めて導入され、ネットワークへの参加者が「文化」としての情報セキュリティ意識を組織に根付かせ、適切な対策をとることでネット社会全体の安全が保たれるという基本的な考えが示された。現代のネットワーク社会においてはあらゆる主体がネットワークを介してつながっており、一企業のみの情報セキュリティ対策を考えても万全ではない。必要に応じて企業、政府等が連携し、社会全体の情報セキュリティ水準の向上に向けて努力することが、結果的に企業の情報セキュリティ水準向上にもつながる。
社会全体の情報セキュリティ水準を向上させるためには、情報セキュリティを一部の関係者だけが取り組むべき事柄と捉えるのではなく、社会の全構成員が自らの課題として考え、社会全体でセキュリティ文化を醸成することが求められる。
また、わが国においては、情報の価値を適正に評価する文化が浅く、現行の法体系においても、情報のような無体物は原則として保護すべき対象となっていない。しかしながら、情報が新たな創造的価値を生み出す「知価社会」#5においては、情報の有する価値はかつてないほどに高まっている。社会全体としてこのようなパラダイムシフトを認識し、情報の持つ価値を反映した社会システムを構築することが、情報セキュリティ対策の根本である。
わが国の社会全体の情報セキュリティに対する認識には未成熟な点が多く、100%安全でないと情報セキュリティは意味がないという考え方が根強くある。一方、情報セキュリティ技術の進歩や管理手法の普及等により、企業が取るべき情報セキュリティ対策で求められる内容も、この10年間で大きく変わってきていることを認識する必要がある。
事故が起きないよう、予防措置としての情報セキュリティ対策を講じるとともに、不正侵入シミュレーション等の実施を通じたチェックを怠らないことは基本であるが、日常的に脅威が増大している中、このような対策に万全ということはない。したがって、予防措置による情報セキュリティの確保には限界があるということを認識し、合理的な対策をとることについて、社会的コンセンサスを形成することが重要である。合理的な対策とは、企業が守るべき情報の重要度やリスクに応じ、本質的に重要な目標に対して対策を実施することである。
また、予防的措置に加え、情報漏洩事故等の発生に備えて、適切な事後対策を整備することも重要である。事前に決められた方針に即して真摯に対応し、ステークホルダーに対して説明責任を果たし、類似事案の発生防止に取り組むことも、企業の実施すべき情報セキュリティ対策である。そのためには、起こってしまった事故について、単に一律の情報漏洩事故として処理するのではなく、その社会的影響等についての正確な評価を行うための指標を官民が協力して策定する必要がある。
このような取組みにより、合理的な情報セキュリティ対策を実施する企業が、市場や社会において一定の評価を受けるようになれば、企業もより高い情報セキュリティ水準を達成すべく努力するという好循環が形成されることになる。
情報セキュリティ対策に先進的に取り組んでいる企業では、経営トップが情報セキュリティの重要性を理解し、トップダウン型のリーダーシップを発揮して対策に取り組んでいる。
一方、情報セキュリティ対策が不十分な企業においては、情報セキュリティ対策の推進に対する全社的な理解が得にくいという問題がある。企業の情報セキュリティ担当者が対策を進めようとしても、情報セキュリティ投資の費用対効果が見えにくいため、多くの経営者は情報セキュリティ対策を単なるコストと認識してしまい、情報セキュリティ対策を積極的に推進するマインドを持ちにくいということがある。それに加えて、情報セキュリティ対策を進めると、それまでの業務方法を変える必要が生じ、経営者以外からも反発が予想される。
これについては、経営トップが情報セキュリティ対策をコーポレート・ガバナンスの課題、企業の社会的責任としての課題として再認識し、リーダーシップを発揮して、全社的に情報セキュリティ対策の重要性を徹底することが重要である。
近年、個人情報漏洩等、情報セキュリティに関係する事故が報道されるたびに、企業の対策不備が指摘され、体制整備の徹底を求める声が上がる。特に、「企業の対策が不十分だから情報漏洩が発生するのではないか」という指摘もあるが、情報セキュリティの重要性を認識している企業の多くは、情報管理と情報活用のバランスをとるため、合理的な情報セキュリティ対策の水準を模索している状況にある。企業によっては、達成不可能な100%のセキュリティを目指し、極端なセキュリティ対策を実施した結果、事業活動に支障が生じているケースもある。
環境問題においては、「環境にやさしい企業」が市場で評価されるメカニズムが登場しているが、情報セキュリティに関しては性質上、どのような対策を講じているかは公表しづらいことから、市場メカニズムの中で企業の取組みを評価する仕組みはまだない。したがって、情報セキュリティ対策を真剣に実施しても、コストの割に市場で高く評価されないため、情報セキュリティ対策を真剣に実施している企業ほど、短期的には競争力が低下することが懸念される。
また、情報漏洩事件が発生した際、データの暗号化等の対策を講じているパソコンを遺失した場合と、何らの対策も講じていない場合が、政府の対応やマスコミの報道で同等に扱われているケースがある。企業の情報セキュリティ対策が全く評価されない社会的な状況は改善を要する。
したがって、企業の情報セキュリティ対策を更に進めるうえで、「あるリスクに対してはこのレベルの対策が必要」という合理的なセキュリティ水準の目安について、官民が協力し、何らかの具体的な指標を共有できるようにする必要がある。これにより、合理的に情報セキュリティ対策のコスト分担を明確にするとともに、企業がその指標に基づいた対策を講じていることを公表することで、市場の評価が得られるような環境を整備することができる。
企業の情報管理については、個人情報保護法や不正競争防止法等との関係で、コンプライアンスとしての取組みが必要となっている。
多くの企業は、法の規定に従い、保有する情報を適正に取り扱い、従業者等の教育等を行うため、今まさに、全力を挙げて取組みを進めているところであるが、いくら企業が体制を整備しても、不正な目的を持った従業者等の行為を完全に阻止することは不可能である。この問題に関しては、企業と政府が連携して対処方策を検討する必要がある。
なお、各省庁が所管の分野向けに個人情報取扱いに関するガイドライン等を策定しているが、企業等に求められる規律が省庁ごとに異なると、個人情報を取り扱う現場は非常に混乱をきたす。内閣府は、個人情報保護法の全面施行前に各省庁のガイドライン等の内容を精査し、必要があれば関係省庁に修正等を求め、政府全体の対応に整合性を確保すべきである。
ネットワークに参加する者は、国、企業、個人の役割を明確にしたうえで、自己責任の原則に基づいて情報セキュリティ対策に取り組むことが求められる。その際、対策が一過性のものとなることのないよう、継続的な取組みが重要である。また、わが国全体として情報セキュリティ水準を向上させるためには、企業、政府が必要に応じて連携し、努力することが重要であると考える。
以下に、企業、政府が具体的に実施すべき取組みについて述べる。
企業の情報セキュリティを確保するために社会全体の情報セキュリティ水準を向上させることが重要であることは間違いないが、企業としても、考えられる対策を自主的に、最大限実行しなければならない。その際、BS7799#6、ISO/IEC17799#7、JIS X 5080#8、情報セキュリティマネジメントシステム(ISMS)適合性評価制度#9等で提唱されている一般的な管理方策を参照し、各企業の業態、情報資産やリスク等に応じた適切な水準の対策を講ずることが望ましい。
情報セキュリティ対策の基本は、企業の中にある脆弱性に焦点を当て、脆弱性のレベルを一定以下にしてリスクを小さくすることにある。従来は、ネットワークにつながった場合の技術的な情報セキュリティ対策が中心であったが、現実には、介在する人間が問題を起こし、組織的な取り決めが不十分であることから問題が生じている。今後の情報セキュリティ対策においては、企業がセキュリティ・ポリシーを基点とする管理体系を作りあげるとともに、企業群が全体として、人の問題、組織の問題、技術の問題を含めて取り組むことが求められている。
また、前述のとおり、現代のネットワーク社会では、あらゆる主体がネットワークでつながっており、情報セキュリティの事故の発生による一企業の事業活動の中断が、他の主体にも影響を及ぼすこととなる。したがって、情報セキュリティの事故が発生した際、企業は可能な限り早期に事業を復旧・継続させるための体制を整備することが求められる。
日本経団連では、「企業行動憲章」等を活用して、情報セキュリティ対策の実装を会員企業に改めて求めるとともに、以下のような具体的取組みを盛り込むことを検討する。
現在、政府の各部局において情報セキュリティに関する検討が進められている。改めて言うまでもないが、政府にはわが国全体の情報セキュリティ水準を向上させる役割があり、中央政府や地方自治体の情報セキュリティ対策の他に、企業を含めた国全体の情報セキュリティ対策を考える必要がある。
しかし、企業の情報セキュリティに関する具体的な取組みは、業種や業態に応じて個々に異なるので、一律のコンプライアンス化は有効な方策とは言えず、企業の自主性に委ねることを原則とすべきである。
国、地方自治体等は、企業等の民間に対してわが国として確保すべき情報セキュリティの水準と方向性を示し、自らの情報セキュリティ対策に取り組むことを通じて企業等に範を示すべきであり、企業等の情報セキュリティに関する具体的な取組みについては、自主的取組みのための環境整備に重点を置くべきである。
わが国全体の情報セキュリティ水準向上のための施策
政府が政策を企画・立案する際には、「いつまでに、何を達成するか」という目標を設定し、その実現のために必要な諸施策を着実に実施していくことが重要である。情報セキュリティに関しても、省庁縦割りの政策を検討するのではなく、日本全体を守るための情報セキュリティ戦略を策定し、達成すべき目標を常に念頭に置きながら、その時々に求められる施策を推進することが重要である。そのうえで、既存の情報セキュリティ政策、組織、基準等を整理し、国民に分かりやすい情報セキュリティ政策を実施すべきである。
現在、政府では、政府自身の情報セキュリティのための統一的・横断的な総合調整機能の強化を行うため、内閣官房の機能を強化し、IT戦略本部に情報セキュリティ政策会議(仮称)とその事務局としての国家情報セキュリティセンター(仮称)を設置する予定#10であるが、新しく設置された機関が情報セキュリティにおける省庁縦割りの弊害を排し、わが国政府全体の情報セキュリティの統合的な中枢組織としてとして、有効に機能することを強く要望する。
政府の情報セキュリティ水準向上のための取組み
企業はどのような水準の情報セキュリティ対策を実施すべきか、試行錯誤しながら取組みを進めている。したがって、政府は、自らの情報セキュリティ対策を充実させ、政府機関および公務員による情報流出をなくし、企業の手本となるよう、以下の取組みを実施すべきである。
企業等の情報セキュリティ対策を促進するための取組み
企業の情報セキュリティ対策は、一義的には経営上の課題であるが、社会全体の信頼性・安全性確保の観点も踏まえ、政府としては、企業の取組みを促すよう、以下のような環境整備に取り組むことが必要である。
国民のセキュリティ・リテラシーの向上
国民全般のセキュリティ・リテラシーの向上においては、教育や啓蒙等における国の役割が大きい。教育機関においても、ITの技法だけではなく、情報の取扱い方の作法や、ネットワークを活用するうえでのエチケット(ネチケット)に関する教育を実施することが、情報セキュリティを確保するうえで重要である。
企業の情報セキュリティは企業が自主的に取り組むのが原則であるが、社会の情報セキュリティに対する意識向上や、国際連携などについては、企業と政府が共同で取組みを進めることが重要であり、具体的には以下のような取組みを官民共同で推進するよう提案する。
現行のISMS適合性評価制度等に定める予防措置としての情報セキュリティ対策だけでは、企業が合理的な情報セキュリティ対策を講じるのに十分な指標とはならない。そこで、情報セキュリティの事故がもたらす影響と事前に実施すべき対策を分かりやすい尺度で示すため、情報セキュリティ・リスクに関する定量的な指標を作り、リスクに応じた合理的な対策が実施できるような目安を官民で共有する。
たとえば、国際原子力機関(IAEA)と経済協力開発機構・原子力機関(OECD/NEA)が協力して策定した原子力事象評価尺度(INES : International Nuclear Event Scale)では、原子力発電所の故障や事故の影響を8段階の評価尺度で分類し、それに対応した措置を定めており、このような客観的な指標作り等が参考になると思われる。
情報セキュリティ文化の醸成や情報共有のため、官民共同で情報セキュリティ・サミット#11等の会合を開催する。また、企業においては従業員への情報セキュリティ教育、消費者への情報提供等を通じ、国民全般の情報リテラシーの向上に努める。
情報セキュリティを議論する国際的な場に官民が積極的に参加し、海外の状況を迅速に把握するとともに、情報セキュリティに関する標準や技術のグローバルスタンダードの策定にも積極的に参加し、それを国内に普及させる。
情報セキュリティは脆弱性を抱えるところから破られるので、国際的に合理的な情報セキュリティ水準を達成することが重要である。特に、途上国に対しては、経済協力の一環として情報セキュリティ対策についての支援を行うことを検討する。
産学官が連携し、情報セキュリティの供給、利用側双方の人材を育成する。
個人情報保護法の全面施行を控え、企業は、所管官庁が策定したガイドライン等を参考に、最終的な体制整備作業に努めている。しかしながら、企業や政府機関からの個人情報漏洩が相次いで報道される中、個人情報の管理が改めて課題となっている。
企業においては、法の規定に従い、個人情報をはじめとして、漏洩しないように守るべき情報とそうでない情報を選別したうえで、個人情報保護に関する体制を整備することが求められる。しかし、情報セキュリティと同様、企業が個人情報の管理を徹底しても、個人情報漏洩等の事件を完全に防止することは不可能である。たとえば、組織的・技術的管理体制をどこまで強化しても、個人情報にアクセスする権限を付与された、不正な目的を持った従業者等による個人情報の漏洩を完全に防ぐことはできず、従業者等の倫理向上、情報管理の徹底等による予防措置に頼るしかない。
そこで、そのような不正行為に対する抑止力として、個人情報流出の状況等を踏まえ、不正な目的を持って情報を漏洩した個人を直接処罰できるような法制度について、業種横断的に検討を開始することが重要である。ただし、構成要件や保護すべき対象等を規定するにあたっては、円滑な商取引を阻害したり、国民の権利を不当に制限したりすることがないよう、慎重に検討する必要があることは言うまでもない。
インターネットを中心とした急速な経済社会の情報化は、国境を越えてネットワークにつながる主体を拡大させ、新たなビジネス・モデルやネット文化の創造をもたらすとともに、ネットワークの拡大に伴うリスクの増大をもたらした。本提言では、わが国として、企業の情報セキュリティの確保に向けて取り組むべき課題を示したが、真に安全で信頼できるITやネットワークを経済社会インフラとして国民が享受できるようにするためには、国際的なレベルでの取組みが不可欠である。
本年11月には、国連の主催で世界情報社会サミット(World Summit on the Information Society)#12が開催され、ドメインネーム#13の管理等、インターネット・ガバナンスについての議論が行われる予定である。日本経団連としても、諸外国における情報セキュリティの取組みや現状を踏まえ、インターネット等のITガバナンスのあり方について、引き続き検討を進め、国民や企業が安心して利活用できるITインフラのあり方について発信していく予定である。