「どこまで情報セキュリティ対策をすればよいのかわからない」という不満について

　こんにちは、丸山満彦＠白浜です。。。ネットワンの山崎さんが講演しています。。。「どこまで（情報セキュリティ対策）を行えばよいのか基準が示されていない」という対策実施上の問題点（警察庁 平成19年1月不正アクセス対策等の実態調査）が紹介されていました。
　どこまでセキュリティ対策をするのかというのは、（経営者の）自己責任の問題なんですが、そこまで日本人に求めるのは無理・・・という話もしていましたね。。。

　経済産業省の個人情報保護法のガイドラインでも、政府統一基準でも、何をしろとはいっていますが、どこまでしろということは言っていません。
　この点についても、いろいろな人から不満も聞きますが・・・
　

　
　法律に違反しているかどうかの判断のよりどころでもある経済産業省の個人情報保護法ガイドラインの中で、具体的に、「パスワードは8文字以上」、「パスワードの誤入力を6回繰り返すとパスワードが利用できなくなる」ようにするということを決めたらどうなるでしょうか？

　政府の統一基準の場合は、セキュリティ対策の実施状況が各省庁でのばらつきがあるなかで、どのようにすれば全体としてセキュリティが向上するかを考えているわけですよね。。。その際に、やはり底上げだろう・・・ということで、最低限のセキュリティ対策を決めたわけですよね。。。そして、どこまですればよいのかをほとんど示していません。。。

　さまざまな組織でさまざまな情報を取り扱っている中で、一定具体的なセキュリティ対策を示した基準をつくることが、果たして総合的に考えて社会的に有益か？？？

　ということですね。。。

　山崎さんが後半で、PCI/DSSという基準の話をしました。PCI/DSSではどの程度のセキュリティ対策（例えば、パスワード長8文字以上）をすればよいのかが比較的具体的に示されていますね。。。でも、それはクレジットカード番号というほぼ単一の情報でかつブランド会社が基準をつくったからですよね。。。

　そういうことで、組織において「どこまで情報セキュリティ対策をすればよいのか？」を決めていくのは、組織の責任者ですので、やはり責任者の責務として、100%完璧でなくてもよいので前向きに導入していくのが重要だろうなぁ・・・と思っています。。。

　

Comments

「どこまでやればよいか」を考えるのが経営判断ですよね。
裁判で訴えられても、善管注意義務を全うしていると主張できるだけの根拠を持つまでやる・・・というのが法律論での答え。
また、裁判にならなくても世間から後ろ指指されたときに、「うちはきちんとやっている」と堂々と言う自信が持てるまでやる・・・というのが実質論での答え。

それでも最低限どこまでやればよいかを教えてくれというなら、「自分で問題ないと思うところまでとことん手を抜いて、問題が発生しないところまで」・・・・その判断をしたくないのなら、経営者を辞めましょう。

Posted by: 閑人 | 2008.06.07 15:58

閑人さん、コメントありがとうございます。。。
そのとおりなんですよね。どの程度のセキュリティ対策をするのかというのは経営判断の問題なんですよね。その経営判断をするのが経営者のそもそもの仕事なんですから、何らかの形でするしかないんですよね。。。
　また、どの程度情報セキュリティ対策をしたらよいのかわからないので、現状のまま放置する。。。というのも、何も決めていないように見えて、放置するという判断をしているわけなんですけどね。。。

Posted by: 丸山満彦 | 2008.06.08 01:44