ガートナーが意識調査

情報漏えいは社長、役員から――管理意識に甘さ

2007/06/06

 ガートナー ジャパンのITデマンドリサーチ データクエスト バイスプレジデントの中野長昌氏は6月6日、企業の情報セキュリティ管理について説明し、情報漏えいを引き起こす3つの特徴を指摘した。「委託先・関連会社からの流出」「携帯電話・USBメモリの紛失、盗難」を挙げたうえで、中野氏は3つ目の特徴として「企業の役員が情報漏えいなどを起こす傾向がある」と語った。

gartner01.jpg ガートナー ジャパンのITデマンドリサーチ データクエスト バイスプレジデントの中野長昌氏

 ガートナーはシマンテックの依頼で528人のビジネスパーソンにアンケート調査した。個人情報保護法が全面施行されて2年経つが、個人情報保護法施行前のアンケート結果と比べて、「パスワードによるPC、情報システムへのログイン認証が厳格化」したとの答えや、「ノートPCなどに個人情報をできるだけ保有しない」「PCのハードディスクの暗号化」などを求められているとの答えが増加した。中野氏は「個人の防衛策を強化する傾向にある」と指摘した。

 だが、個人に対する情報管理の徹底は企業の社長、役員クラスには及んでいないようだ。情報セキュリティポリシーについてのアンケートで、セキュリティポリシーの「規定を読んだ、講習を受けた」と答えたのは、一般社員が57.9%、課長クラスが54.2%、部長クラスが53.7%なのに比べて、社長、役員クラスは31.6%。個人情報にとどまらず企業の重要な情報に接する機会が多い社長、役員クラスがセキュリティ保護のトレーニングを最も受けていないことになる。

 PC、情報システムの取扱規定や電子メール、インターネットの取扱規定についても「規定を読んだ、講習を受けた」と答えた割り合いは全職位の中で、社長、役員クラスが最低だった。中野氏は「職位が上に行くほど管理が緩くなっている。上級管理職は情報セキュリティの遵守について範を示していない」と指摘した。

 一方、社長、役員クラスが情報セキュリティ管理で感じているのは「リスク対し敏感になった」「全社員、取引先、顧客まで管理するのは困難」ということだ。一般社員、部長クラスと比べて社長、役員クラスがこう答える比率は高く、関心の違いが分かる。一般社員が気にしているのは「個人の業務効率、生産性が低下」「どこまで遵守すべきか不明瞭」ということ。一般社員は「現場の意見の反映、見直しがされていない」との回答も多く、情報セキュリティ管理をめぐり、上級管理職と現場との意識のかい離も見て取れる。

 中野氏は「情報セキュリティ管理はPlan(計画・策定)では進展しているが、Do/Check(実行・遵守・監査)のレベルには至っていない」と指摘。特に上級管理職については「情報セキュリティ管理のDo/Checkにおいては低いレベルにあり、Do/Checkは上級管理者から浸透させるべき」と話した。

(@IT 垣内郁栄)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)