2005年4月1日に「個人情報保護法」が完全施行され、世間は個人情報の取り扱いに過剰ともいえるほど敏感になった。情報をデジタルデータで保存するのが当たり前の現在は、ITによる漏えい対策が必須で、IT産業界は“個人情報特需”に沸き、ユーザー企業のセキュリティ対策は進展をみせた。法の施行から約2年半経った今、ユーザー企業の対策は本当に万全といえるのだろうか。個人情報保護を巡るIT産業界とユーザーの実情を振り返り、これからを予測する。（木村剛士●取材／文）

ベンダーに求められる“原点の提案”
「原理原則の徹底」が企業を守る

保護法の施行で新市場が出現
相次ぐ漏えいで危機意識高まる

　IT産業界で個人情報保護関連ビジネスが動き出したのは、今から約4年前の2003年にまでさかのぼる。「個人情報保護法」が完全施行されたのは05年4月だが、法の成立は03年5月。好機到来とみた先進的なSIerとメーカーは、ユーザー企業がまだ情報セキュリティに関心を寄せなかったこの頃に、先駆けて商品を揃え始めていた。

　個人情報保護法の成立・施行は、日本のセキュリティ業界全体を活性化させた。それまで、セキュリティといえばIT製品・サービスのなかで、業務効率化にも生産性向上にも寄与しない「負の投資」と揶揄され、顧客は必要性を感じても投資はしない分野だった。日本は他国に比べて「セキュリティに疎い」といわれ、外資系大手セキュリティベンダーが手を焼いていた市場でもある。それが一転、罰則が規定されたことで、セキュリティに対し日本企業は重い腰を動かし、市場を形成した。

　セキュリティ意識を高めさせたもう1つの要因がある。それが、大企業の相次ぐ個人情報漏えい事件・事故。代表的な企業がソフトバンクBBだ。

　04年2月24日、ソフトバンクBBは当時過去最大規模となる約452万人の顧客情報流出を起こした。同日、22時30分から緊急会見を開き事情を説明。海外出張中だった孫正義社長兼CEOは急きょ帰国して3日後の27日に謝罪会見を開いて陳謝した。加えて、孫社長はこの情報漏えい事件で「顧客への対応費用で約40億円、情報システムのセキュリティ投資で数億円投じる」と強調。その当時、ソフトバンクBB以外にもローソンなど大手企業の情報流出はあったが、具体的な被害金額を公表する企業はほぼ皆無だった。それだけに、顧客情報の流出がどれほど経営に悪影響を与えるかを具体的な数字で表し衝撃を与えた。

　一連の動きは連日報道され、企業の危機意識を煽りセキュリティ特需へとつながっていった。

さまざまな対応商品が誕生

　04年を転換期に、日本の個人情報保護意識は高まり、05年もセキュリティ製品・サービスの販売は堅調に推移する。さまざまな新商材も生まれた。日立製作所はHDDを持たない新タイプのシンクライアントを開発し、「セキュリティプラットフォーム」と呼ばれるセキュリティ運用管理ツールを各社がラインアップ。主要保険会社は、万一に備える「個人情報漏えい対策保険」を商品化した。異常ともいえる加熱ぶりだった。

　需要に一服感があった06年には、ファイル交換ソフト「Winny」がセキュリティのニーズを再燃させる。「Winny」がインストールされているPCが、特定のウイルスに感染し情報が漏れる被害が多発。官公庁も例外ではなく、3月に防衛庁から情報が「Winny」で漏れた。この時、7万台の個人PCが庁内システムにアクセスすることを容認していたことが明るみになり社会問題に発展した。そして、今年は内部統制がキーワードになり、セキュリティを絡めた提案活動が活発になっている。


関心高いが実効に結びつかず
情報保護の3つのキーワード

　国内最大規模の情報セキュリティイベント「情報セキュリティEXPO」は今年で第4回を迎え、出展企業も来場者数も右肩上がりで推移している。今年は1381社が出展、約11万人が来場し、ともに過去最多を記録する人気分野になった。調査会社IDC Japanが調べた「国内セキュリティソフトウェア市場動向」予測によると、今後も右肩上がりの成長を続け、2011年には2000億円を超える規模に成長するとみている。03年から本格的に形成された日本の個人情報保護市場は、依然成長ぶりを示していることは間違いない。

　法律施行などの社会的変化とベンダーの積極提案が相乗効果をもたらし、ユーザー企業のセキュリティ意識は確実に高まったといえるだろう。しかし、意識の高まりは本当にユーザー企業の個人情報保護対策を万全に導いたのだろうか。

　07年に入ってからの個人情報流出事件・事故を調べてみた（上表参照）。企業・団体が公表しているものだけで500件以上ある。その数は昨年や一昨年と比べても極端に減ったとはいえない。また、個人情報が流出した原因を調べると、特徴的なことが浮き彫りになった。「Winnyからの流出」「盗難」「紛失」「誤廃棄」……。そのほとんどが基本的なセキュリティポリシーを守ってさえいれば防げるものばかりだ。対策は進んだとはいえ、万全といえる状況には程遠いのだ。

基本を押さえることが肝心

　では、この現状を踏まえどのようなセキュリティ提案が受け入れられるのか。 まず、ユーザー企業のセキュリティ対策はまだ万全ではないことと、セキュリティに100％保護はないことを大前提として理解しておくことだ。それを考慮したうえで、個人情報を守るキーワードを3つ設定した。

　1つは、「セキュリティポリシー設定・運用のサポート」。2つめが「情報の重要度と情報にアクセスする人間の設定」。そして3つめが、「万一情報が漏れた際の事後対策」だ。

　今年の流出原因をみても、セキュリティポリシーを設定していないか、運用が徹底されていないことが分かる。セキュリティポリシーの現状を分析し再設定、定期的な運用状況をチェックするコンサルティングサービスが求められる。そして、無数にある情報の重要度を設定し、それに合わせたアクセス権を社員に振り分けるシステムの確立。「経営情報は役員にアクセス権を付与し、各部門の議事録は部門内社員以外はアクセスできない」というように、情報のレベルに合わせてアクセス権を振り分けるのだ。そして、最後が「100％の情報保護対策はない」ことを考慮し、情報が流出した際の事後対策だ。第三者はデータを見ることができなくする暗号化や、流出経路や原因を把握するために必要なログ収集・解析システムなどの導入だ。

　ここにあげた3つのキーワードは、先進的というわけではなく、これまでも必要性が叫ばれていた分野。だが、流出原因をみると、いまだ徹底されていないことが分かる。この3対策を施しても、セキュリティ対策が万全とはいえないが、効果は十分にある。また、ソリューション数が多いため、ユーザー企業は何を導入すべきか選択に悩む傾向にあるが、この3つの原理原則を重視することで、ソリューションの選択は比較的分かりやすくなるだろう。

　ユーザー企業のセキュリティ対策はベンダーが思っているほど進んでいない。「個人情報保護法」が完全施行された頃に強調されていた3つの対策が今もなお求められているのだ。（週刊BCN　2007年10月8日号掲載）