日本経団連(奥田碩会長)は15日、「企業の情報セキュリティのあり方に関する提言」を発表した。同提言は、企業の情報セキュリティに関する経済界としての基本的な考え方を示したもの。企業が合理的な情報セキュリティ対策を講ずることができるよう、リスクに応じた定量的な指標を官民が協力して策定するよう提案するとともに、不正な目的で企業等から個人情報を漏洩させた個人を直接処罰できる法制度の検討を求めている。今後、日本経団連は同提言に基づき、政府や与党等にその実現に向けて働きかけていくこととしている。同提言の概要は次のとおり。
ITの経済・社会インフラ化に伴い、情報漏洩などのリスクが増大し、また、個人情報保護法施行等により、企業にとって情報セキュリティがコンプライアンス(法令順守)となっている。こうした中、政府においては、国や企業の情報セキュリティのあり方に関するさまざまな検討が進められている。
一方、企業は、「情報セキュリティ対策に対する経営トップの理解が得にくい」「情報セキュリティ対策をどこまで講ずればよいのかわからない」「不正な目的を持った個人の行為を完全に阻止することは難しい」といった課題に直面している。
そこで日本経団連は、昨今の情報セキュリティに関する動向などを踏まえ、企業の情報セキュリティのあるべき姿についての見解をとりまとめることとした。
昨今、相次いで報道されている個人情報漏洩事件においては、企業が加害者として扱われることが多い。また、社会のネットワーク化により、情報漏洩の影響は深刻になっている。したがって、経営トップ自らが情報セキュリティを企業の社会的責任と認識し、取り組みを進める姿勢を持つことが重要である。
情報セキュリティがコンプライアンスの対象となるとともに、適切な情報セキュリティ対策を講じていない企業が国際的なパートナーシップから排除される状況も見られる。これに対して企業は、情報セキュリティ対策を肯定的に捉え、業務プロセス改革に活かして競争力を強化するような、攻めの情報セキュリティが求められる。
あらゆる主体がネットワークでつながっている現代社会においては、ネットワークの全参加者が情報セキュリティを文化として共有するとともに、情報の価値を反映した社会システムを構築することが必要である。
情報セキュリティに100%はないということを認識し、リスクに応じた合理的な対策に関する社会的コンセンサスを形成することが重要である。
情報セキュリティを確保するためには、政府や企業がそれぞれ果たすべき役割を明確にし、自己責任の原則に基づいて対策を進める必要がある。
企業においては、既存の情報セキュリティ基準などを参考に、適切な情報セキュリティ対策を講ずることが望ましい。また、日本経団連においても、「企業行動憲章」などを活用して、情報セキュリティの実装を会員企業に求めることとしている。
政府には、(1)情報セキュリティ戦略の策定などによるわが国全体の情報セキュリティ水準向上 (2)政府の情報セキュリティ強化を通じた民間へのベスト・プラクティス・モデルの提供 (3)税制的優遇措置など企業へのインセンティブ付与 (4)国民に対するセキュリティ教育――などを実施することが求められる。
企業の情報セキュリティ対策は、企業が自主的に取り組むべきものであるが、情報セキュリティ・リスクに関する定量的な指標の策定などについては、企業と政府が連携して取り組みを進めることが重要である。
情報セキュリティと同様、個人情報保護に関しても、企業による対策強化だけでは漏洩を完全に防止することは難しい。そこで、不正な目的を持って個人情報を漏洩する個人を直接処罰できる法制度を検討し、不正行為に対する抑止力の強化を図る必要がある。