 |
| 大阪市にある松下電器産業の本社。情報セキュリティ本部はここにある。左下は正門付近にある、セキュリティー対策用のICカードリーダー |
 |
| ●情報セキュリティ本部を中心とした「30/300/3000人体制」などを導入し、事業リスクを大幅低減 |
 |
| 情報管理対策を強力に後押しする中村邦夫社長。写真は2005年1月11日の経営方針発表会 |
 |
| ●国内外のグループ全社に適用する「グローバルISMポリシー体系」は3階層構成 |
そこで、中村邦夫社長の強力な後押しを受けて2004年1月に情報セキュリティ本部を設立。グループ全体の情報管理体制を徹底改革した。「30/300/3000人体制」「グローバルISMポリシー体系」「管理レベル基準」などの仕組みを導入して、中村社長が目指す「セキュリティーに世界一厳しい会社(企業グループ)」に近づいている。情報セキュリティーに関連した事件の発生リスクは低くなり、さらに2億2000万円もの情報管理コストを削減する部門も出てきた。
「情報セキュリティーの甘い会社は生き残れない。情報セキュリティーに世界で一番厳しい会社になろう」
2004年1月1日。中村社長の強力な後押しを受け、松下電器産業に「情報セキュリティ本部」が発足した。2002年ごろから、情報セキュリティー関連事件が国内外で相次ぎ、頭を悩ませていたからだ。情報セキュリティ本部が陣頭指揮をとり、社員全員を徹底的に教育。組織面・システム面・設備面で情報管理体制を見直し、罰則規定を明文化した。その結果、連結対象371社を含む巨大グループの情報管理体制は格段に強固なものとなり、事件の発生リスクが大幅に低減した。
情報セキュリティー事件が相次ぐ
情報セキュリティ本部の金森喜久男本部長は、「かつては管理レベルが1や2だったので、事件が発生しても当然と言えば当然。いまは(国内の大半の組織が)レベル3に達した」と手応えを感じている。管理レベルは、情報管理に対する組織の取り組みの成熟度を表す。米カーネギーメロン大学の「CMM(能力成熟度モデル)」や、経済産業省の「情報セキュリティ監査研究会報告書」などを参考に、5段階の管理レベル基準を作成した。
2005年度は、ほぼ半年ごとにPDCA(計画・実行・検証・見直し)サイクルを回し、国内の全組織をレベル4に到達させる。国外の組織はすべて、年内にレベル3を目指す。
情報セキュリティ本部を発足させるきっかけとなった主な事件は次の通りだ。例えば2000年半ばごろ、松下電器産業のディスプレー製品の類似品が世界中に出回った。競合会社が松下を退職したディスプレー部門の技術者など8人を雇用。さらに、松下の社員を装ったメールによって、部品メーカーから設計資料を不正入手したのだ。
この出来事とは反対に、松下自身が産業スパイの疑いをかけられる事件が2003年2月に発生。外注先企業の社員が、かつて勤務していたヤマハ発動機の関連会社から電子部品の試作品を盗んだ容疑で逮捕された。製品差し止めのリスクを回避するため、松下は発表済みだった製品をやむなく設計変更し、発売を延期した。
2002年7月には、北海道で個人情報流出事件が発生。深川市が市民や市職員に提供するメールサービスの利用者名やパスワードなどが1900件分も盗まれた。システム保守を手がける松下の社員が、車に置いたノートパソコンの盗難にあったのだ。松下は、謝罪会見や謝罪広告などの対応に追われ、深川市から3カ月間の指名入札停止処分を受けた。
ノートパソコンの盗難・紛失は2003年度だけで約180件あった。車上荒らし、電車やタクシーでの置き忘れ、社内での盗難・紛失、空港や駅、ホテルでの盗難などが原因だ。
発表前のDVDプレーヤーや携帯端末機などの新製品情報がインターネット上に流出する事件も増えていた。例えば2004年は、販売促進代理店が発表前商品の情報を掲示板に書き込むなど8件の事件があった。
2002年6月には、米国特許庁の検索ページに多数の社員が集中的にアクセスし、利用を1年間拒絶される事件も起きている。同サイトの利用規定が社内に周知されていなかったのである。
松下は、1999年からセキュリティー対策委員会を設けていた。だが、グループ全社に対してもっと指導力のある組織が必要だったのである。
社長が「プロを集めてこい」と指示
「情報セキュリティーのプロを全社から集めろ」——。情報セキュリティ本部の発足にあたり、中村社長は委員会に檄げきを飛ばした。そこで法務本部がイントラネットによる社内公募制度を使い、募集要項を告知。例えば技術部門から暗号監理者、情報システム部門からISO 15408推進者をスカウトした。最終的には、法務本部から4人、情報システム部門から2人、技術部門から3人など、計10人強の体制で情報セキュリティ本部を立ち上げた。
同本部は、コンサルティング会社数社の意見を聞きながら、具体策を詰めていった。基本コンセプトは中村社長が打ち出した。(1)グローバルに共通のルールを作る、(2)役員と社員でルールの適用に差をつけない、(3)教育と厳罰を徹底——の3点だ。
社長の後押しがあるからこそ、情報セキュリティ本部が打ち出す施策に全社が従う。「トップが強いメッセージを打ち出さないと、うまくいかない。2カ月に1回以上の頻度で進ちょく状況を社長に報告しているが、毎回いろんな助言や苦言をもらう」(情報セキュリティ本部の長野數利参事)
「30/300/3000人体制」でカバー
松下電器産業は、本社各部やグループ各社を14の事業ドメインに振り分けている。情報セキュリティ本部は、事業所の場所などを考慮して14ドメインをさらに細分化。計40以上のドメインに分け、各ドメインにCSO(最高セキュリティー責任者)を置いた。
同本部は、副社長や本部長をCSOに任命。乗り気でない人もいたが、「ちゃんとやらないと謝罪会見を開くはめになりますよ」と説得した。当時、個人情報漏えい事件を起こしたソフトバンクBBの謝罪会見の写真を持参したところ、効果てきめんだった。
松下はさらに、「30/300/3000人体制」によってグループ全体を管理する。最初の「30」という数値は、情報セキュリティ本部の将来の総人員数を表す。同本部は2005年6月時点で約20人。設立時の2倍になる。今年度から海外拠点のセキュリティー強化に本腰を入れ始めたからだ。海外の地域ごとで本社機能の役割を果たす部門から人材を拡充した。「海外拠点で様々な施策を定着させるためには、現地に住んだ経験が必要」(長野参事)と考えた。
「300」は、ISMS(情報セキュリティー・マネジメント・システム)審査員資格を取得した社員「ISMプロフェッショナル」を指す。ISMプロフェッショナルは各ドメインに1人以上ずつおり、複数の職場を指導・監査する。現在、国内のISMプロフェッショナル全員を2週間ごとに本社に集めている。進ちょく状況や課題に関する情報を共有したり、研修するためだ。
「3000」は、職場ごとの情報セキュリティー担当者「IMSリーダー」の総数。直属のISMプロフェッショナルの指示を仰ぎながら、社員一人ひとりに情報管理の取り組みを徹底させる。
グローバル性と地域性をバランス
このように組織面での情報管理体制を確立すると同時に、世界共通のセキュリティー管理規約「グローバルISMポリシー体系」を作った。「ポリシー」「スタンダード」「ガイドライン」の3階層構成になっている。
ポリシーは、全社共通の情報セキュリティーに対する基本方針。例えば、「各情報システムに対して、情報区分に応じた管理策を講じる」といった内容が列挙されている。
スタンダードは、具体的な情報セキュリティー対策と達成基準で、職能によって守るべき対策は若干異なる。「各情報システムはパスワードを必ず持つ」などが具体例。達成基準は、その対策が必須なのか推奨なのか、派遣社員を含むかどうかなどを規定する。
ガイドラインは、地域やドメイン特性を加味した、より具体的な方策。「パスワードはXカ月ごとに更新」などの内容を規定する。ガイドラインを基にして詳細チェックシートと簡易チェックシートを作成。前者はIMSプロフェッショナルが、後者は社員全員が毎月目を通す。
