ここ数年、大規模なセキュリティ事故が頻発している。
大企業や国家機関の数百万にもおよぶ個人情報の漏えいが明るみになり、
さらに情報共有ソフトの使用による機密データの流出なども話題となった。
いずれも、21世紀に入ってからの企業における新種のリスク
という点では変わりはない。しかし、新種のリスクといって
「知らぬ存ぜぬ」は通用しない。
当然、業種によっても保護すべき機密情報は違う。
図6-3にまとめたので、セキュリティを考えるときの
参考にしていただきたい。
新たな社会インフラが普及しはじめるとき、それと併せ、
今までにないリスクが生じることは歴史が教えてくれている。
例えば、自動車の普及が典型的だ。
1970年、日本の自動車保有台数は約2000万台に
迫る勢いで普及が進んだ。しかし、その裏で交通事故死者数は
1万6000人を超え、史上最悪を記録する。
道路の整備も進み、自動車が社会インフラとして確固たる地位を
築こうと進み出す際に大きな問題として横たわったのが、
この事故の急増である。
当然、自動車メーカーも自動車を使用する企業側も
この問題に真摯に向かい合った。
自動車メーカーは安全性における技術向上に取り組み、
企業側も交通安全活動を積極的に推進した。
その結果、日本は成熟した自動車社会を育むことができた。
2014年の交通事故死者数は4000人強である。
それでも、まだまだこの数字を減少させることはできるだろう。
その取り組みはいまだ継続して続けられているのだ。
一方で、企業のセキュリティ事故は自動車普及と同じ道が
歩めるのだろうか?今は、情報漏えいなどでセキュリティ事故が
発生しても、いまひとつ、企業側の責任は曖昧模糊としている。
「自動車は人の命に関わるものだから比べようにもない」
という意見もあるが、果たしてそうだろうか?
インターネットは社会インフラとして定着しつつある。
国も自治体もインターネットをコモディティ化された
プラットフォームとして活用しはじめている。
もちろん、企業も同様だ。そのプラットフォームを利用している
企業が事故を起こせば、責任を追求されるのは当然のなりゆきだろう。
道路を走る運送会社のトラックが交通事故を起こせば、
その責任は企業に問われる。
だからこそ、企業はドライバーに対して安全運転の指導を行うのだ。
一方、セキュリティ事故はどうしてもその責任が曖昧になりやすい。
皆が全容やしくみをつかめていないからだ。
そのため時間と共に風化される。新たな新種の攻撃が明らかになり、
他社が対応を迫られれば、おのずと自社もセキュリティ対策を
急遽強化する。このサイクルを繰り返す限り、日本の企業は
社会的責任を果たしていないと言えるのでないか。
本書のテーマでもある企業経営とICTは、
すでに切り離せない関係性にある。
そこに立脚する形でセキュリティの問題が横たわっている。
特に忘れてはならないことは、セキュリティに関する問題は
内部もしくは関係者が引き起こしていることが7〜8割を占めると
いう事実である。この割合は以前から変わらない。
つまり、物理面や技術面だけでは解決できない人の問題が
大きな比重を占めているのである。
経営者自身がICTについて、少なくとも経営における
影響度を理解しておかなくてはならない。
いまやセキュリティ対策は法令順守や環境問題などとは
別の企業が果たすべき、社会的責任(CSR)の範疇に
置かれている重大事項である。しかし、まだ猶予期間を
設けられていると認識するとわかりやすい。
繰り返すが、交通事故を起こせば会社の信用が失墜するだけでなく、
社会的責任を問われるのは当然である。
セキュリティ事故も、近い将来、当然、そのような扱いとなるはずだ。
そのときの準備を進めるのは今しかない。
――――――――――――――――――――――
(近藤 昇 著 2015年9月30日発刊
『ICTとアナログ力を駆使して中小企業を変革する』
第6章 アナログとICTの境界にリスクあり-ところでクラウドは信用できるのか より転載)