ICT政策と企業のBCP(3)：情報セキュリティに関する動向

　6月22日に内閣府の情報セキュリティ政策会議より「セキュア・ジャパン2009 」が公表された。「情報セキュリティ先進国」を目指し、2006年2月に「第1次情報セキュリティ基本計画」の3カ年計画を策定した。今年の2月に第2弾にあたる「第2次情報セキュリティ基本計画」を策定。「セキュア・ジャパン2009」は、2009年度におけるより具体的な施策の実施プログラムを示している。今回の特徴は「すべての主体に事故前提の自覚を」という言葉のとおり、対策実施区分を1)政府機関・地方自治体、2)重要インフラ、3)企業、4)個人に別けそれぞれの対象が合理性に裏付けられたアプローチを模索する事となる。

　企業分野においては「情報セキュリティ対策の実施状況を世界トップクラスの水準にする」と言うことを目標に53施策が計画されています。この施策の中には、前週の「クラウドコンピューティングの潮流(4)」で新井氏の記事にもある、総務省、経産省のSaaS関連のガイドラインなども全て含まれています。

　企業分野では特に中小企業にも言及しており、「中小企業情報セキュリティ指導者育成セミナー」をはじめとして、普及啓発や人材育成に重点が置かれている。
中小企業に対する情報セキュリティの普及ではどの様な点に気を付けるべきか？IPAが出す2009年3月「中小企業の情報セキュリティ対策に関する研究会報告書」からその一端が伺える。中小企業（従業員300人以下）において、情報セキュリティ対策上の課題の設問に対し「投資効果が見えづらい（50.7%）」「何処まで対策すべきか不明（48.6%）」「セキュリティ対策推進人材の不足（40.0%）」「従業員の意識の低さ（35.6%）」と続く。これら課題に対応する事で、中小企業への情報セキュリティの浸透が図れると考えられ、IPAでは当該報告書と同時に「中小企業の情報セキュリティ対策ガイドライン」を発行している。

　このように政府としても、情報セキュリティ先進国を目指し様々な活動を実施している中、昨年後半から始まった、未曾有の経済危機の影響か、2009年5月にIPAが公表した「2008年国内における情報セキュリティ事象被害状況調査」では、2009年度のセキュリティ対策への投資額は300人以上の企業で14.9％が減額、300人未満の企業で11.0%が減額を予定していると回答されている。前年回答では300人以上企業で7.0%、300人未満企業7.2%であった事から考えると、減額が目立ち、特に規模の大きい企業ほどその差が激しい。

　中小企業の情報セキュリティ対策上の課題のトップである「投資効果が見えづらい」というのは、減額した場合に置いても、その影響が見えづらい裏返しなのかも知れない。
　しかしながら一つ面白い統計がある。平成20年度版国民生活白書では、消費者・生活者の行動が企業の売上に及ぼす影響について調べている。「社会的または環境に関する評判によって、製品又はサービスを購入しようと決めている人」は、アメリカが45%、英国が42%に比べ、日本は48.2%と意識の高さが伺える。この影響か「企業の不祥事と売上高の関係」（下図「平成20年版 国民生活白書」第1章 消費者市民社会に向けた消費者・生活者の役割と課題より引用） を見ると、不祥事を起こした企業の売上高は、不祥事発生後6年を過ぎても下がり続けるという現象が見られる。

　昨今も大規模な個人情報の漏洩事件など後を絶たないが、一度失った信用によって失う利益が、どれだけ莫大であるか？セキュア・ジャパン2009が掲げる「すべての主体に事故前提の自覚を」を本当に再確認する必要がある。