施行間近の個人情報保護法、「いまから対策しても間に合いません」
2004/8/26
三菱総合研究所 情報環境研究本部 情報通信政策研究部 情報セキュリティチームリーダー 主席研究員 松尾正浩氏は、シマンテックが8月25日に開催した説明会で講演し、2005年4月に施行される個人情報保護法について、「すべての企業がこれから対策を行って来年4月に間に合わすのは無理。特に大企業ではかなり苦しいだろう」と述べた。そのうえで、「重要なのはいかに説明責任を果たすか。セキュリティポリシー監査などの安全管理措置が求められる」と指摘した。
三菱総合研究所 情報環境研究本部 情報通信政策研究部 情報セキュリティチームリーダー 主席研究員 松尾正浩氏 |
松尾氏は「歴史が長い企業では社規(会社の規則)のボリュームが大きく、個人情報保護法に合わせて内容をすぐに改定できない。社員が多い企業では教育も手間で、監査も時間が掛かる」と述べた。
だが、松尾氏の考えでは来年4月までに個人情報保護法に向けた対策を整えることは重要ではない。なぜなら「完璧な情報セキュリティ対策はあり得ない。どこまで対策を実施すれば責任を果たすことができるのか不明確」(松尾氏)だからだ。重要なのは「事故は避けられないという前提で、万が一のために説明責任をいかに果たすか」ということ。仮に個人情報が漏えいしたとしても十分な対策を行ってきたという事実を何らかの形で示すことができれば、企業のダメージは大きくならないという考えだ。
では、その説明責任を果たすために企業が行うべきこと何か。シマンテックの法人営業事業部 エグゼクティブシステムエンジニア 野々下幸治氏は「セキュリティポリシー監査が重要になる」と指摘した。セキュリティポリシー監査とは、社内のシステムがセキュリティポリシーで定めた基準を満たし、適切に運用管理されているかをチェックし、ログを残すシステム。シマンテックの「Symantec Enterprise Security Manager」(ESM)では具体的に「簡単で短いパスワードが設定されていないか」「OSに最新のパッチが適用されているか」「不要なサービス、アプリケーションが稼働していないか」などをチェックできる。標準で1500以上の項目を調査でき、監査の結果はレポートにまとめられる。
野々下氏は「セキュリティは暗号化などプロテクトの製品が先行しているが、今後はセキュリティポリシー監査の市場が広がると期待している」と話し、情報漏えいが発生したあとの対処を見込んだ製品が拡大するとの見通しを示した。
(編集局 垣内郁栄)
[関連記事]
迫られる情報漏えい対策、三菱電機が格安パック (@ITNews)
巨額の損害賠償請求に有効、フォレンジクスとは (@ITNews)
ヤフーBB全会員に500円、情報流出事件で孫氏が謝罪 (@ITNews)
個人情報流出で倒産するシステム・インテグレータ (@ITNews)
「個人情報保護法」時代のセキュリティ対策 (@ITNews)
情報をお寄せください:
最新記事
|
|