今年7月に起きたベネッセ・ホールディングスの個人情報漏洩事件は記憶に新しい。慌てて「自分の会社は大丈夫か」と、自社内のチェックを命じた経営者も多いだろう。
情報漏洩事件は、10数年前から繰り返し起きていた。そのたびに情報管理の不備が指摘されてきたが、事故は起こり続けている。情報漏洩はいつまで繰り返されるのだろうか。
今回は、日本を代表するセキュリティの専門家の1人である、セキュリティ専門会社ラックの西本逸郎取締役CTOに、企業のセキュリティ対策の考え方について話を聞いた。西本氏は、「コスト削減目的のIT活用ならアリバイのセキュリティ対策でもよかったが、データの活用を考えているなら、根本的に考え方を改めないと破綻する」と警鐘を鳴らす。
情報漏洩は、以前から何度も繰り返されてきました。「またか」と思った人も多いでしょう。今後も同様のことが繰り返されるのでしょうか。
西本:一般的に、情報システムとかITと言うと、自分には関係ないと考える方が多いのが現状です。日経ビジネスオンラインの読者も、自分はシステム担当者ではないからという方が多いのではないでしょうか。
うーん、そうかもしれませんね。
西本:車を例に考えてみると、ブレーキがあって、アクセルがあって、ハンドルがあって、エンジンがあって、ガソリンを入れなきゃ走らない、ということは誰もが知っています。同じように、情報システムにも原理原則があるのです。それを大きく分けると「機能(=ファンクション)」と「データ」に集約されます。
例えば、交通費の精算システムがあるとします。それは機能です。何でそのようなシステムが要るかというと、合理化したいわけです。コスト削減したいわけです。いちいち伝票を書いていたらみんな大変ですから。20世紀の情報システムというのは、基本的にそういう“機能”を提供したことで発展してきたのです。機能中心なのです。
