JIPDEC　電子情報利活用研究部　客員研究員　前田　陽二

警察庁「不正アクセス行為対策等の実態調査 報告書」（2014年2月）によると、情報セキュリティ対策実施上の問題として「費用対効果が見えない」、「どこまで行えば良いのか基準が示されていない」「コストがかかりすぎる」、「教育訓練が行き届かない」といった回答が多く挙がっている。日本ネットワークセキュリティ協会 理事・事務局長の下村 正洋氏もセキュリティ対策の必要性や効果、必要な対策の内容が不明であることがセキュリティ対策の阻害要因になると述べている。
一方で、データベース･セキュリティ・コンソシアム「『DBA（Data Base Administrator：データベース管理に係る仕事の従事者）1,000 人に聞きました』アンケート調査報告書」（2014年9月）によると、「将来、データベースに格納されている情報をこっそり売却するかも知れない」という問いに対して「そう思う、ややそう思う」との回答が10.7パーセントという状況で、内部リスクも存在する。また、違反者への罰則規定もあるマイナンバー制度により、今後企業には、従業員の個人番号を含む特定個人情報を適切に取り扱う義務が課され、確実な漏洩防止・情報セキュリティ対策が求められることとなる。
このような環境のなかで、IT技術とマネジメントの観点のみでなく経済的視点を加えた「情報セキュリティエコノミクス」という視点から対策をしていこうという考え方も広がっている。

情報セキュリティの専門家でない一般利用者は、適切な情報セキュリティ対策の手法や製品・サービスを選択するための知識と情報を十分に持っているとは言いがたい。そこで本WGでは、一般利用者が情報セキュリティ対策を検討する際に必要なものについて、身近な自動車運転におけるセキュリティ対策と比較して考えた。
教習所で交通法の知識や運転技術を習得し、機能や価格に関する説明を受けて自動車を購入するように、電子記録のセキュリティ対策についても、利活用場面ごとの分かりやすい説明書や教育体制が必要だろう。具体的には、各種法律・ガイドラインの理解、情報セキュリティマネジメントの実習、正確な説明と価格の提示、システムの信頼性の保証、保険制度の理解などが必要となる。また、自動車事故発生時には車載カメラによる証拠映像等の確認が行われるのと同様に、電子記録関連の事故発生時にも係争対応として証跡管理が重要である。これらのうち、本WGでは2014年度、電子記録利活用の情報セキュリティ対策事例をまとめ、事故の係争対応としての証跡管理のポイントを検討した。

モバイル端末からの組織内の情報閲覧では、機器の認証やセキュアブラウザの利用、取引先企業など組織外との情報共有・交換では、送信履歴を残せるファイル共有・転送アプライアンスの利用、機密情報移送時のセキュリティ確保・情報漏えい防止では、秘密分散技術が有用である。本WGではこのような電子記録利活用時の情報セキュリティ対策事例を、用途ごとにカタログのような形で例示しており、参照して役立てていただきたい。
交通事故等の発生時に現場を動かさず速やかに警察を呼ぶように、情報漏えいなど電子記録関連の事故発生時にも、問題の機器をすぐに確保・保全し、ネットワーク切断後は動かさず、速やかに電子データ調査の専門家に相談することが求められる。また、証拠としては、いわゆるカーネルレベルのログを取得し、本当に情報を外部の記憶媒体に書き出したのかなどを正確に判断できることが重要である。経営者の責任の範囲（責任者が守るべき範囲）についても現在検討を進めており、日本には「善良な管理者としての注意義務（善管注意義務）」があるが、米国のビジネス・ジャッジメント・ルール（Business Judgment Rule）のような規定も検討すべきだと考える。
このように本WGでは、情報セキュリティ対策を阻害する要因と現状の課題を調査し、解決策として情報セキュリティ対策事例をまとめ、証跡管理のポイントについて検討した。電子記録の有効活用を進めるためにも、これらを皆様に参考にしていただき、情報セキュリティ対策を進めていただきたい。

• 2015年3月13日　第45回電子情報利活用セミナー「企業の情報セキュリティ意識と情報管理」