« 個人情報漏えい、社員も罰則対象 自民が法改正検討 | Main | 会社は誰のモノか?  »

2005.02.13

中国通と知的財産保護を語る

 こんにちは、丸山満彦です。一昨日は、中国系日本人(元中国人で現在は日本国籍を取得)、今日は、日本から上海に転勤している人と知的財産保護の話をする機会に恵まれました。

 
 両者の意見はともに、知的財産というとすぐに特許など法的な保護の話になるが、それはひとつの選択肢に過ぎない。本当に重要な情報は徹底的にブラックボックス化をするのがよいのではないか?、特許にすると情報が公開され、違法に模倣される。特許侵害で訴えてもよいが、それでどの程度の損害を回収できるのかというと、全額の回収は不可能だろう。ブラックボックス化というのも選択肢として非常に重要という話になりました。個人情報漏えいの話がよく言われているが、企業にとっては技術情報の漏えいも重要な課題である。

 また、最近の情報セキュリティは、オープン系の情報システムのセキュリティ話ばかりであることも話題になりました。ソフトウェアの脆弱性、コンピュータウイルスなどなど・・・。本当に重要な情報の活用と保護の話があまり出てこないのはいかがなものか?という議論も盛り上がりました。

 企業にとって重要な情報・・・それが情報セキュリティの場合は根幹にあるべきだが、どうしてもソフトウェアの脆弱性、コンピュータウイルスという話に矮小化されてしまいます。何を守るのか?という視点を強調した情報セキュリティマネジメントが重要ですね。 

 

|

« 個人情報漏えい、社員も罰則対象 自民が法改正検討 | Main | 会社は誰のモノか?  »

Comments

丸山 様

夏井です。

情報セキュリティが「目的」ではなく「手段」に過ぎない以上,無目的に情報セキュリティの指針を策定しても無意味なことは明らかですね。

そして,手段としての「情報セキュリティ」を実現するための手法は様々なものがあり得ます。技術的手段によるべき場合もあるし,別の手段によるべき場合もある。(現代では許されることかどうかは別として)関係者を口封じしたり人柱にしてしまうというようなことも古来繰り返しなされてきたことです。

情報セキュリティの3要素の一つとして「機密性Confidentiality」がしばしば挙げられます。これも,要素というよりは,実現すべき目的の一つとして理解すべきものでしょう。なぜなら,「完全性」や「可用性」を損ねてまでも守りきるべき「機密性」というものが存在し得るからです。この点に関して,情報セキュリティの教科書の多くで誤った理解に基づく記述を発見することができます。おそらく,情報セキュリティそれ自体を自己目的にしている人々であり続ける限り,そのような人々は,それが間違いであることを最後まで理解することができないでしょう。

機密性を保持するための法制度もいろいろ存在し得ますが,知的財産権として保護するのであれば「営業上の秘密」を一応あげることができますね。
しかし,これは,既に古い概念です。企業経営上の利益とは無関係な機密情報というものが存在し,それは,不正競争防止法等における「営業上の秘密」とはかなり異なるものだからです。
それを知的財産権の問題として理解しようとする人々であり続ける限り,そのような人々は,最後までこのことを理解することができないでしょう。

発想の転換が必要です。


Posted by: 夏井高人 | 2005.02.13 at 07:39

夏井先生、コメントありがとうございます。企業にとって、情報セキュリティ(マネジメント、対策)は「手段」であり、目的ではないことは明白です。経営者の方がその辺のコンサルタントの人より理解しているように思います。情報セキュリティも経営全体としての大局的視野にたった理解に基づく対策の実施が非常に重要でしょう。会社は傾きかけていますが、セキュリティは万全で、個人情報も一切もらしません。という会社があれば、それは変ですよね・・・。
 

Posted by: 丸山満彦 | 2005.02.14 at 00:14

丸山 様

夏井です。

おはようございます。

> 企業にとって、情報セキュリティ(マネジメント、対策)は「手段」であり、目的ではないことは明白です。経営者の方がその辺のコンサルタントの人より理解しているように思います。

まともな企業であれば,そのとおりですね。

経営を無視した情報セキュリティなどあり得ない。

国レベルでも予算を無視したセキュリティを実現しようとすれば必ず破綻します。でも,人類の過去の歴史を振り返ると,政権がやばくなると,国民に対して危機感をあおり(場合によっては,危機や脅威を捏造してまで),セキュリティ(防衛)ばかりを強化するといった事例も数え切れないほどあったというのも否定できない事実ですね。

さて,企業のセキュリティの場合にはどうなんでしょうか?

無関心で無防備な企業に対しては情報セキュリティの重要性を口をすっぱくして力説しなければならない。しかし,きちんとやっている企業に対して押し売りをしても無意味で迷惑なばかりか弊害も多い。

情報セキュリティを推進する場合の難しさを痛感してます。

Posted by: 夏井高人 | 2005.02.14 at 06:53

上海の谷口直之です。

夏井先生、はじめまして。
丸山さん、こんにちは。

情報セキュリティ、知的財産保護、言葉はいろいろありますね。ただ、これらの言葉は、本来の言葉の意味を超えて(?)なにか偏った意味合いを持ってしまってる気がしますので使うのに注意が必要かもしれませんが。ここではとりあえず「情報保護」という言葉を使いますね。

通常の企業活動における情報保護活動の典型的な型って、シンプルに言うと、次のようなものになる、と思います。
まず、企業活動をする上で、何かしらの経営目的があり、その達成の為に情報(あるいは知的財産やノウハウ)を活用していこう!という手段をとることから始まります。(そもそもこの過程で発生する情報も重要な機密情報でしょうが、それは今回は置いておくとして。)で、その「情報を活用していこう!」という手段のために企業の理念、文化を考慮し、どのように活用するか、またそれに伴うリスクをどのようにマネジメントしていくか、という議論が始まります。情報を活用することにどのようなリスクがあるかを検討し、どこまでマネジメントするかを経営者(あるいは経営者から権限委譲された方)が決定し、それを組織で共有し、リスクをマネジメントすべく様々な手段やツールを検討し、組織の中に設計し実施していくわけです。この手段やツールには、規程などのルールがあるかもしれませんし、技術的なセキュリティ保護があるかもしれません。ISMSやPマークも一つのツールですね。そして知的財産「権」として権利化することも一つの手段でしょう。これは保護の観点と活用の観点の両方に繋がる手段になると思いますが。

そしてもう一つ重要なことは、会社組織の「脳」である経営者が実施すべきと考えたことが、組織全体あるいは組織の必要な個所できちっと実施されていることをモニタリングすることですね。上の話で言えば、リスクマネジメント上実施すべきと決定された手段やツールが、必要な個所の隅々に至るまで、きちっとデザインされ、実施されているかどうか、をモニタリングすべき、ということになります。人間と違って、右手人差し指を曲げろ、という命令に対し、その通り動かないかもしれないのが組織ですから。また組織が巨大化すると、「右手の人差し指」がちゃんと曲がってることもそう簡単には見れなくなるんですよね。ですのできちっとしたモニタリング体制が必要になります。(ここまで含めてきちっとできてる日本の会社って多くはないと思います。特にここ中国においては。。。。)で、最後にちゃんと動いてなければ、「なんでやろ?何が悪いんやろ?」と考えて直していく、と。ISMSやPマークと言ったツールはこれらの活動も含まれてはいますね。

この流れを前提に話をしないと、コンサルタントに限らず、狭い範囲でしかモノを考えていない一部の方々が情報セキュリティやら知的財産やらといってもどうも話が偏りがちになってしまいます。

この話って、「情報」を「車」に例えて言うと次のようなことかな、と思います。

「車」を使って、「多くのお客さんを迅速に目的地に運ぶ」と言う目的を達成しようとします。ところが、本来の目的を知らない人がやってきて、分かったような顔をして、迅速に、ということでしたらやっぱりフェラーリですよ、と言ってフェラーリを売りつけに来ます。また別の人が、目的地に至る経路には山道がありますから、車高を上げて、4X4用の大きなデコボコのついたタイヤにすべきですよ、と言って売りつけに来ます。さらには、フェラーリでは多くのお客さんを載せることが出来ないので、後ろに客車を付けましょう、なんて結果になってしまった。。。

てなわけで、本来の目的からするとワゴン車やマイクロバスみたいな車で十分なのに、車高が高く、客車を牽引するフェラーリなんていう無駄な状態になってしまうわけです。お金があるから良いわけでもありません。あきらかに企業活動にマイナスですよね。

法律家の方も、監査の専門家の方も、コンサルタントと言われる人たちも、本来の目的をしっかりと理解し、全体像を把握した上できちっと助言をしないといけないですね。(自戒)

ちなみに、この話は企業活動における情報保護活動の最も基本となる考え方にのみに焦点を当てましたが、個人情報や「企業経営上の利益とは無関係な機密情報」などを考えるときには少し違う切り口で考える必要があると思います。

============================
この意見は私見であり、所属する団体の意見ではありません。
============================

Posted by: 谷口直之 | 2005.02.14 at 21:11

 谷口さん、コメントありがとうございます。おっしゃる通りですね。はじめの目的が明確に定まっていなければ、対策をする時にどんどんぶれていきますね・・・で、結局どこまですればいいんだ?と人に聞いてしまうわけです。大変勉強になります。
 中国の状況について、これからもいろいろと教えて下さい。

Posted by: 丸山満彦 | 2005.02.15 at 02:41

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/2905204

Listed below are links to weblogs that reference 中国通と知的財産保護を語る:

« 個人情報漏えい、社員も罰則対象 自民が法改正検討 | Main | 会社は誰のモノか?  »