相次ぐ顧客情報流出が企業経営の高度化を促す
ヤフーBB、アッカ・ネットワークスの顧客情報流出事件は氷山の一角に過ぎない。もはや技術的な対策だけで情報漏洩を完全に防ぐことはできない。望ましくない事態が起きた時に備えてどう保険をかけるか、性善説と性悪説の狭間で社員をどう管理するかといった「リスクマネジメント」の発想が企業経営に求められているのだ。
このところ、顧客情報の流出事件が続いている。1月25日には、ヤフーBBの460万人分の顧客情報流出が報道された。3月25日にはアッカ・ネットワークスが最大140万人分の(全ての顧客情報の)流出の可能性があると発表した。この他、数千人から数万人規模の顧客情報漏洩も数件起きている。
ヤフー・BBは、言わずと知れたインターネット接続とIP電話を主体業務とする、日本最大のプロバイダーの一つである。一方、アッカネットワークスもNTTコミュニケーションズを親会社に持つ、ADSLの元締めの1社である。この2社は、共に日本のインターネット活用を支える企業であり、時代の最先端を走っている会社である。当然の事ながら、インターネットの世界に必要不可欠な情報セキュリティーへの備えも万全だと思われていたが、現実はそうではなかった。
情報セキュリティに関しては、おそらく最も厳格であると思われていたこの2社にして、顧客情報の流出原因は内部の人間による持ち出しという単純なものだった。おそらく、ヤフー・BBにしてもアッカ・ネットワークスにしても、外部からの攻撃に対する技術的な情報セキュリティの施策はキチンと打ってあったろうし、そのレベルも十分に高度かつ緻密なものだったと思われる。しかし、内部の人間の管理という、アナログ的で企業運営の基本的な部分での問題は十分に管理することができなかった。両社が時代の最先端を走る企業であるだけに、情報セキュリティにおける人的管理問題の重要性に対して象徴的なものを感じる。
●情報漏洩を技術で完全に防ぐのは不可能な時代に
これは、スピーディーな社内体制の変化と顧客サービスを迫られる情報サービス企業ではやむを得ない面もある。社内スタッフや契約社員、派遣社員が情報を共有し、少しでも早く顧客データベースを整備しようとするなら、多くの人間にシステムへのアクセス権を与えざるを得ない。顧客サポートに関しても然りで、サポート人員が顧客データベースを閲覧できないようでは、満足な顧客サービスはできなかっただろう。
情報漏洩はどんなに対策を打っても防ぎ切れるものでは無い。どんなに技術的に対策を打っても、その技術を凌駕する技術で突破されてしまう。また、人的管理問題から情報漏洩は起きてしまう。この組織内の問題は、どのようにルールを定めても、罰則を強めても、完全には無くせるものではない。
これは最早、情報セキュリティ上の施策だけでは個人情報の漏洩を始めとするリスクを回避できなくなっているということだ。従来の様に、情報セキュリティ上の施策を実施することで、情報の機密性、完全性、可用性を求めることは不可能な時代に突入したと思われる。
ヤフー・BBの例でも、賠償金だけでも最低40億円を支出すると言う。一人500円の金券で賠償問題が片付いたとして40億円である。専門家の評価では、一人1万5000円の賠償が妥当だという話も聞かれる。この場合は賠償金は1200億円に膨れ上がることになる。とにかく、一旦情報漏洩が起きてしまえば損害賠償や信用の失墜など、企業運営に大きな影響が出る事態になってしまうことは明らかだ。
一つ予言めいたことを言わせていただく。ヤフー・BBの事件を境に、情報セキュリティへの企業の取組みが根本的に変化していくと予想できる。ウィンドウズ 95が世に出た時に、世の中に大きなインパクトを与えた。その結果、パソコン使用者が爆発的に増え、企業のパソコン利用を促進させた。ウインドウズ 95前後でパソコン活用の質的変化が起きているように、世の中に大きなインパクトを与える事件が起きた時は、その事件を境に世の中に質的な変化が起きるのである。
●情報セキュリティに関する意識が抜本的に変わる
ヤフー・BBの事件は十分に大きなインパクトを世間に与えた。このインパクトが世の企業に自己防衛の必要性を知らしめ、情報セキュリティに対する考え方を質的に変化させる契機になるだろう。
今までの情報セキュリティは、企業内の情報を守ることに主眼が置かれ、情報の機密性、完全性、可用性を確保するための施策が打たれて来ている。しかし、今後は情報セキュリティという範囲を超え、企業のリスクマネジメントと言う観点からセキュリティ問題が捉えられることになるだろう。つまり、情報セキュリティで情報を守る一方、情報漏洩が起きた時のことを考えて、リスクを分散するために損害賠償をヘッジするためのリスク保険や、顧客との契約事項に情報漏洩が起きた時の対処方を明記するなど、情報漏洩の後始末をうまく行なう方法論も一般的に取り入れられていくだろう。
個人情報の漏洩については今後益々世間の目が厳しくなっていくことだけは間違いがない。しかし、100%情報漏洩を防ぐことはほぼ不可能と言って良い。もちろん100%に限りなく近づけて行くことはできるだろうが、そのために支払うコストは莫大なものになる。これでは肝心の業務推進に甚だしい悪影響が出てしまう。これを解決するには、バランス感覚のあるリスクマネジメントの実施しかない。必要十分な情報セキュリティの手を打ち、それでも情報漏洩の可能性が残る分には、別のリスクヘッジ、例えば前述のリスク保険などでカバーするのが合理的だ。このように、総合的なリスクマネジメントが、必要とされる世の中に移っていくだろう。
社員管理についても然りだ。いままで多くの日本企業は社員性善説にたっていたが、今後はある程度は性悪説にたった管理をするしかない。たとえば、「顧客データベースにアクセスできる端末と人数を制限し、作業内容を事前に申告させ、操作記録をトレースする」「パソコンからデータを記憶媒体に落とすのは特定社員に限定する。その他の社員のフロッピーディスクやUSBポートはふさぐ」「共有アカウントを廃止する」「社員の外部へのアクセス、メールのやりとりは全て監視する」「社員の入退室にあたってはボディチェックを厳格に行う」等の施策が考えられる。これは、当然社員の生産性や顧客サービスの低下につながるだろう。しかし、セキュリティとのバランスを考えながら、ある程度は厳格に実施せざるを得なくなることが予想される。
だからといって、多くの日本企業やベンチャー企業が本来持っている社員の結束の強さ、顧客へのサービス精神が損なわれては何にもならない。そこをつなぎとめるのは、経営者の理念、従業員の働きがいをバックアップしようとする姿勢、厳格なセキュリティチェックを埋め合わせるだけの顧客サービスを考えようとする積極性しかない。
リスクマネジメントはメリット・デメリットを冷徹に読む論理的能力と、社員や顧客をつなぎ止める情緒的要素を同時に経営者に問うてくる。これは、ひと昔前に比べてはるかに高度な課題を経営者に突きつけることになるが、自分の会社は自分で守るしかないのだ。ヤフー・BB、アッカ・ネットワークスの事件を他山の石とし、今からでもリスクマネジメントを真剣に考えていくべきである。
(本記事は、「SmallBiz(スモールビズ)※」に寄稿したコラム「近藤昇の『こうして起こせ、社内情報革命』」に、「第71回 相次ぐ顧客情報流出が企業経営の高度化を促す」として、2004年3月31日に掲載されたものです。)
※日経BP社が2001年から2004年まで運営していた中堅・中小企業向け情報サイト