情報セキュリティは経営者が率先して取り組むべき

CIO Lounge正会員・東本 謙治

 私は松下電器産業(現パナソニック)の情報システム部門勤務を経て2004年から本社部門の情報セキュリティ専任組織に移り、その推進や監査、インシデント対応などを担当しました。松下電器は大きな会社ですが、独立採算で事業責任を負う事業部制を導入していたため、「中小企業の集まり」とも表現されていました。

 情報セキュリティについても、当時は各事業部門の経営者が推進体制を構築し、それぞれのやり方で運営していました。その後、松下電器を定年退職した私は別の会社に所属し、情報セキュリティ構築を支援する仕事に携わり、多くの会社・事業部門における情報セキュリティの取り組み状況を見てきました。

 それらの経験を通じて実感したのは、企業規模の大小や国内外を問わず、情報セキュリティ推進や成熟に深く影響するのは、経営者の姿勢や意識であるということです。逆に経営者が情報セキュリティ推進に主体性を発揮しないと、いくら優秀なセキュリティ人材を集めようと、資金を投じようとなかなか上手くいかないということでもあります。

 本コラムでは、このことを特に中堅・中小企業の経営者の方々に認識して頂きたく、私が経験から学んだことをお伝えいたします。今日、情報セキュリティは、どんな会社にとっても非常に重要な経営課題です。経営者の皆様が真剣に取り組むことで従業員も本気になり、情報資産を守る協力を得られます。どういうことか、2つのエピソードを挙げてみます。

 最初のエピソードは、松下電器の事業部門で経験したインシデントです。従業員300名ほどの規模の事業部門において、ある年末の最終勤務日、メール誤送信が発生しました。本来、お客様向けにBCCで一斉配信する予定のメールを、誤ってCCで送信してしまったものです。全受信者のメールアドレスが不適切に公開されることで、お客様自身がスパムメールの対象になるなどセキュリティリスクが高まるリスクが生じました。

 事業部では直ちに部門のトップや関係部門の責任者が集まり、対策会議が開催されました。会議の席上で社長は誤送信の詳細な事実関係を確認した後、お客様に直ちに状況を説明し、お客様への影響を最小限に抑えることを最優先に対応することを指示しました。年末年始にもかかわらず各部署の責任者は関係者を招集し、全員が一丸となって、お客様一人ひとりに連絡を取り状況を説明するとともに、被害が拡大しないようにきめ細かく対応策を説明しました。

 年末年始でご不在の方もいましたが、すべてのお客様に連絡を取り、無事に事態を収束させることができました。一連のインシデント対応が完了した後には、メール誤送信を防ぐために送信前に必ずダブルチェックを行うことを徹底するなどの具体的な対策も、日常的に実行するようになりました。

 次のエピソードですが、グローバルに展開する企業では各国の法規制面についても対応が必須であり、経営層のリーダーシップが求められます。EUでは、GDPR(一般データ保護規則)が施行されており、個人データの保護に関して非常に厳しい規制を設けています。

 GDPRは、データ主体の権利を強化し、データ処理者に対して透明性と責任を求める内容が特徴です。また、米国ではカリフォルニア消費者プライバシー法(CCPA)があり、消費者のプライバシー権を保護しています。シンガポールでも個人データ保護法(PDPA)があり、個人データの取り扱いに関して厳格な規制を設けています。

 これらの法律や規則は、グローバルなビジネス環境において企業が情報セキュリティを確保し、個人情報を適切に管理するための重要な指針となっています。たとえ規模が小さな会社でも、ビジネスを進める上で現地の法律や各種の規制を理解して必要な対応をする必要があり、その上で情報セキュリティ活動を定着化することが求められます。

 こんな状況の下で、東南アジアに拠点を置く小さな会社に関与したことがあります。経営者自らが情報セキュリティの重要性を認識し、言語、文化や慣習に考慮しながら、効果的なセキュリティ対策を推進していました。英語だけでなく、現地の言語でのセキュリティ教育コンテンツを作成し、従業員が理解しやすい形で情報を提供するといったことです。

 さらに定期的な現場確認や職場でのコミュニケーションを通じて、情報セキュリティの重要性を従業員ひとり一人に浸透させる努力を続けていました。このように経営者は現地の文化的価値観や慣習を尊重して、国ごとに異なるプライバシーに関する考え方などを考慮して、法律や規制を理解することや場合によってはカスタマイズされたポリシーを策定するなどを社内メンバーや外部専門家と協力しながら推進されていました。国内外の経営トップが情報セキュリティに自分事として対応していた背景には、日本の親会社社長自らが事業部門や子会社に対して、情報セキュリティの重要性を訴えていたこともあると考えています。

 本コラムでは規模の大小とは関係なく、企業や組織のトップが情報セキュリティを自分事であり、経営課題であるとすることの意味を2つのエピソードで紹介しました。情報セキュリティ対策は企業の信頼性と持続可能な成長を支える重要な経営課題です。経営トップの皆様が自ら率先して情報セキュリティに取り組むことで組織全体の意識を高め、適切な対応を可能にします。

 すでにご覧になった方もあると思いますが情報処理推進機構(IPA)から「中小企業の情報セキュリティ対策ガイドライン」が公開されています。このガイドラインも参考にしていただき、自社の状況に応じた効果のある対策を実行に移すことで情報資産を守り、お客様やお取引先様の信頼を確保し、さらに強固な基盤を構築されることを願っております。

筆者プロフィール

東本 謙治 (ひがしもと けんじ)

1956年神戸市生まれ。1979年松下電器産業(現パナソニック)入社。情報システム部門において全社経理システムの開発・運営、全システムの基盤技術・運用を担当。2005年の情報セキュリティ本部発足に伴い、グローバル情報セキュリティ施策の立案に携わる。以降、全社への定着化やCSIRT立ち上げなどを担当し、2016年退職。2016年から5年間、監査法人において関西企業を中心として活動、2021年退職。2023年9月、CIO Lounge加入。妻との旅行が趣味。