会社情報

パブリシティ

リスクマネジメントABC 情報セキュリティー IT活用領域を広げる 日刊工業新聞 2006年(平成18年)11月9日掲載

リスク管理
企業が取り扱う情報は、その漏えい時の影響度や取り扱い権限者の範囲設定などから、「極秘」「秘」「社外秘」などの区分に分類され、これに応じた対策レベルを設定することが従来の一般的な取り組みである。この背景にある原則は、情報の漏えい時に与える影響が大きいものほど、その取り扱いを許容される者の範囲を小さくするということである。

しかし、一見して合理的と思われるこの考え方が必ずしもそぐわない情報もある。例えば個人情報である。個人情報の漏えいが組織にあたえる影響度は非常に高いにもかかわらず、多くの就業者が個人情報を取り扱うケースはあまた存在する。

昨今では、影響度とその取り扱い範囲に基づく情報の分類を、マトリクス状で整理したうえで、その区分ごとに対策を設定している企業も出てきている。冒頭で述べたような、影響度に比例して取り扱い範囲を小さく設定し、それに基づき対策が整理されている組織では、改めて情報の分類のあり方を見直す必要もあるのではないだろうか。

また、漏えい時の影響度が低い情報をベースラインと見立てて対策をまず整備し、影響度が高い情報に対しては、これに加えて個別対策を施すことでリスクを極小化していくという考え方も成立しうる。

この影響度が高い情報を守るための個別対策において陥りがちなのが、「ルールや手続きの押し付け」だけに終始してしまうことである。業務プロセスを加味されない管理簿への記入ルールなどは、生産性の低下につながりうるばかりではない。逆にルールの誤解による担当者のミスやルールの形骸化、ルール無視への暗黙の許容を招き、結果としてリスクの顕在化を助長しかねない。

こうしたリスクの防止のためにもITの活用領域を広げることは欠かせない。ITを有効活用することで、担当者依存の判断によるリスクを回避でき、また手作業記録作業に比して、生産性の点からも望ましいことは自明である。加えて一元的なコントロールを可能にすることでその制御を容易にし、情報の取り扱い状況のモニタリングやトレーサビリティーの向上など、多くのメリットも享受できる。

シンクライアント(ターミナルサーバ)の普及はまだ1割IT活用の一例として、データやアプリケーションをサーバに集約し、必要最小限の機能のみを持たせるシンクライアントによる一元的な情報のコントロールも話題に上る。だが、こうしたメリットを享受するには、確かな戦略に基づく相応のシステム投資が必要なことも事実であり、表に示した通り、メリットがあるからといって、すぐに市場に浸透しきるというものでもない。

対策の選択肢は他にもあるが、情報セキュリティー対策におけるITの活用領域拡大の視点で、改めて自社の戦略および対策を見直されてはいかがであろうか。(日本総研ソリューションズ)

執筆 技術本部:石川 晃

※日刊工業新聞 2006年11月09日 掲載記事より転載

PDF版はこちらから(281KB)PDF

ページトップへ戻る

JSOLへのお問い合わせ

特集

特集SAP

SAP ERPの豊富な導入実績があり、企業の業務改革を総合的にご支援します。

特集Biz∫

人とシステムの融合による業務効率化を目指し、あらゆる企業の変革を迅速かつ確実に実現します。

特集オムニチャネル

コンサルティングからソリューションまでオムニチャネル化に向けた最適なご支援を提供します。

特集JSOLアグリ

農業生産に係る数理計画を中核に、農業生産者の経営指標の見える化と収益拡大を実現します。