
じっくり考える「情報漏えい発生の理由」(中編)
情報漏えいが事業経営に与えるインパクト
前場 宏之
トレンドマイクロ株式会社
営業統括本部 コンサルティングSE部
テクニカルSE課 課長 兼 ソリューションSE課 課長
2009/9/1
情報漏えい発生――そのとき、企業にはこれだけの作業、これだけの費用、これだけの損失が発生するのです。前編「雇用形態の変化と情報漏えいの実態」に続き、情報漏えい発生のインパクトを解説します(編集部)
情報漏えい事件はいまに始まったものではない。近年はインターネットをはじめとする技術の進歩によって、映像、文字、音声などのデータがデジタル化され、瞬時に地球を駆け巡るようになっている。しかしこれは情報の拡散範囲やスピードが変化しただけであり、人が情報を盗んだり、うっかり漏らしてしまったりといった、情報漏えい事件の根本は何も変わってはいない。
今回は、情報漏えい対策を行ううえで基本となる情報の価値設定と、情報漏えい事件が企業に与える財務上のインパクト、そして漏えいを防ぐためにどのような対策が必要か考えてみよう。
情報漏えい対策の実際
一般の企業における情報資産の棚卸しでは、業務にかかわる担当者が重要度を選別し、万が一なにかがあったときの責任を追う責任者や経営層がそれを承認するのが一般的な考え方だ。しかし実際には、重要度の分類方法や分類された結果が、リスクマネジメントを行う上でふさわしい答えになっているかは疑問である。
通常の企業が行う情報資産の棚卸しで、見落とされがちな点は以下の項目だ。
- 誰の視点で情報資産を重み付けしているか
- 情報漏えい時に被る財務的なインパクトは、適切に予測されているか
以上のたった2つの項目であるが、筆者が企業の情報資産の棚卸しの際に重要視しているポイントであり、実際に適切に情報の重み付けやコストインパクトの予測をしている企業は少ない、と筆者は感じている。
情報の価値は誰が決めるのか
では、情報の価値はいったい誰が決めるのだろうか? 発信する者、受け取る者、使う者、さまざまな立場の人々が1つの情報を取り扱う。通常、その情報を使う側の主観で、情報の価値は決まるものだ。企業内においては、その価値の重みが部門ごとに異なってくる。
例えばある会社の製品を買った顧客の情報を例にとってみよう。
顧客は、自分の個人情報や製品シリアル番号、製品購入日、購入店名、その製品を使用する環境、場合によっては趣味や好みなども記入し、それを製品ベンダに提供することで、定められた期間その製品のサポートを受けることができるようになっている。
提供された顧客の個人情報やそれに付随する情報は、一般的には情報収集した企業の顧客データベースに登録される。ここで、企業内の各部門にとって同じ情報の価値・重みがどのように異なるか、ほとんどの企業で機密情報として扱われている「顧客情報」を例にみてみよう。
●サポート部門
まず、サポート部門における顧客情報の意味はどのようなものだろうか。サポート部門にとって顧客情報は、「各顧客にふさわしいサポートは何であるかを判断するための判断材料」であり、サポート部門における顧客情報の価値は、「個々の顧客にひも付いた正確な情報であり、サポートの効率化をもたらし、サポートコストを最適化することができる」という点である。
サポート部門は、いわば企業における顧客情報の入り口である。まず、担当者はサポート回線に入る顧客からの電話に対応するが、その冒頭に顧客の持つ製品シリアル番号、顧客の氏名、住所、電話番号などを顧客データベースで検索し、サポート期間内の顧客であるかどうか確認する。
サポート部門が顧客情報を参照する理由は、電話をかけてきた顧客が正当な製品の使用者かどうか、また顧客が保有する製品がサポート期間内であるかどうかスクリーニングするためである。情報がない場合、もしくは会社が保有しているものと合致しない場合、正規の顧客でない、あるいは期間が切れたサポート義務のない者といえる。もし情報を入手することができず、正規の顧客かどうかを判断することができなければ、すべての入電者に対してなんらかの対応をすることになり、サポートセンターのコスト増加を招く。あるいはサポート品質が低下し、企業ブランドへの悪影響を及ぼすかもしれない。
●マーケティング部門
一方、同じ会社におけるマーケティング部門にとって、同じ顧客の情報はどのような意味を持つだろうか。マーケティング部門にとって顧客情報とは、「売上が上がる製品・有望顧客を把握するための分析材料」である。マーケティング部門においては、サポート部門で参照していたような“個々の顧客情報”よりも、“分析可能なマスデータ”にこそ価値がある。マーケティング部門にとっての情報の価値基準とは、「分析結果がいかに経営効率につながるか」という点なのだ。
マーケティング部門は、顧客データベースから製品の顧客プロファイルを分析し、販売戦略を立案する。提供された顧客の個人情報や趣味、好みに関する情報は有力な分析結果をもたらし、有望顧客のプロファイルを確立することができる。マーケティング部門はこれら情報を基にマーケティング活動を行う。これらの情報の有無により、マーケティング投資効果に決定的な差が出ることは容易に想像できるだろう。つまり、マーケティング部門にとっては、1人1人の顧客の情報そのものよりも、複数の顧客の情報を分析することで、初めて情報に意味が生まれるといえる。
さらに、製品と協調して機能する効果的なオプション製品があり、その売り上げが大きな収益を生み出す企業にとっては、この製品の顧客情報が競合に漏れれば、売り上げの大幅低下をもたらす可能性がある。顧客データベースは企業にとって経営を左右する重要な機密情報だといえる。
●法務部
上記の例のように、情報資産が「個人情報」であった場合には、純粋な企業活動の価値以外にも、コンプライアンス上保護が必要になってくるため、法務部の見解も極めて重要となることは読者の皆様もすでにご存じのとおりである。法務部において“顧客情報”は漏えい時に財務・法務的インパクトを与えるリスクをはらんだ情報であり、「いかにリスクを軽減させるか」ということこそ、個人情報を取り扱うポイントとなる。つまり、法務部にとってだけ見れば“個人情報”そのものは価値がマイナスであるといってもよいだろう。法務部にとっては「個人情報を持たない」ことこそが最も価値のあることなのだ。
以上のように、同一企業内で流通している同一の情報資産であっても、使用する部門、立場によりその重要性は大きく異なる。「個人情報」の例では、個人情報保護法が施行されて以来、企業はその扱いに注意を払わざるを得なくなり、法務的見解によって個人情報保護法に抵触しない扱いをしている会社は多い。ただ、多角的な視点をもって情報資産の重み付けを行っている例はまだまだ少ないというのが筆者の実感である。
企業が情報資産の重み付けを行う場合にはその情報を扱うすべての部門、人々の視点から情報資産の重要性を検討する必要があり、またさらには、それら情報が外部に漏れた際の二次利用の価値も判断基準に付け加えていくべきである。
1/3 |
![]() |
Index | |
前編:雇用形態の変化と情報漏えいの実態 | |
Page1 情報漏えい事件の原因はどこから来るのか 「情報管理」のスピードを追い抜く雇用形態の変化 |
|
Page2 アメリカと日本:雇用形態の違いに見る情報漏えいのかたち |
|
Page3 今後の雇用形態変化と情報管理 |
Index | |
中編:情報漏えいが事業経営に与えるインパクト | |
![]() |
Page1 情報漏えい対策の実際 情報の価値は誰が決めるのか |
Page2 情報漏えい時に被る財務的なインパクトの予測 |
|
Page3 あるショッピングサイトを襲った情報漏えい事件の「費用」 |
Index | |
後編:情報漏えい対策ソリューション、DLPとは | |
Page1 「機密情報そのもの」を守るというアプローチ 重要情報の決め手は「情報の指紋」 |
|
Page2 情報漏えい防止のための「もう1つの手段」として |
![]() |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
![]() |
|
|
|
![]() |