PR

情報の取り扱いについての企業の安全性を社内外に示すために、基本ルールや責任の所在を明文化したもの。単なるシステム上の対策だけでなく、社員の意識改革や教育も含めて実践しなければならない。EC(電子商取引)が活発化する今後、確固たるセキュリティ・ポリシーを持たない企業はビジネスへの参加すら許されなくなる。

 「実は、ここだけの話なんだけど…」と、相手の口の堅さを信じて打ち明けたマル秘情報。ところが、いつの間にか多くの人に漏れ伝わるばかりか、“尾ひれ”が付いた事実無根の噂が広がる。こんな経験をすれば、最初に話を伝えた相手を信頼する気持ちは薄れ、友好な関係は崩れ去るはずです。

 似たようなことが企業間の取引にも当てはまります。取引先に渡した新製品の機密情報が外部に流出する。取引先の情報ネットワークの管理体制がずさんでハッカーに侵入され、その影響で自社のシステムまで停止してしまう。こんなトラブルが発生しようものなら「あの会社とは2度と取引しない」という声が出てもおかしくはありません。

 本格的なサプライチェーンやEC(電子商取引)の時代を迎えた今、情報の取り扱いの安全性を社外に説明できない企業は、ビジネスへの参加すら許されない状況になってきたのです。そこで企業は、情報に対する社内ルールや責任体制を「セキュリティ・ポリシー」として明文化して、安全宣言しようという姿勢を強めています。

◆効果
情報の責任体制を明確に

 セキュリティ・ポリシーを策定するに当たっては、まず「誰がどんな情報をどう扱い、どう責任を取るのか」など、情報に対する企業姿勢を明確にしなければなりません。こうした基本方針を固めたうえで、「ファイアウオールの設定方法」や「データの暗号化手法」といった個別の技術的対策を講じていくわけです。

 もちろん旗印を上げるだけにとどまらず、社内への啓蒙や教育といった運用体制を用意して、「セキュリティ・ポリシーを実践していく」ことが重要であることは言うまでもありません。

 ECが活発化する今後、社内ルールや安全対策などの方針が明確で「あの会社とは取引しても大丈夫だ」と信頼を得る企業は、次々とビジネスを拡大する一方、何の方針も無く“丸腰”の企業は相手にされない可能性があります。セキュリティ・ポリシーの有無が、今後のビジネス展開に大きな差をつけることは間違いありません。

◆事例
製造業中心に関心

 松下通信工業は98年10月、社内に流通する様々な情報についての責任体制などを100ページほどの冊子にまとめてセキュリティ・ポリシーを策定しました。99年に管理職全員に内容を徹底教育したほか、2000年には全社員にも教育を実施する方針です。

 そのほかマツダや山之内製薬、光通信などもセキュリティ・ポリシーの確立に積極的に取り組んでいます。

 セキュリティ・ポリシーについてのコンサルティング・サービスも充実してきました。日本ヒューレット・パッカードやセコム、大塚商会などが力を注いでいます。

川上潤司 junji@nikkeibp.co.jp