セキュリティと競争力向上の両立

日経ITproの「山口英情報セキュリティ補佐官インタビュー（後編）」を見ていて、ここには思わず反応しました。

このインタビューによると、

具体的にどうやってセキュリティと企業の競争力向上を両立させるのか。

三つのことに取り組む必要がある。

第1に技術の開発。これまでは，これなら絶対に守れるという技術だった。しかし，これからはリスクはあるものという前提に立ち，問題が発生したときに想定の範囲内で被害をとどめるといった技術の開発が必要になる。

第2がコンプライアンス（法令順守）について見直すことだ。現状では企業がコンプライアンスに過剰反応して身動きが取れなくなっていたり，企業の力関係によって一方が他方に対して責任をかぶせるということがある。

　ここに対しては，レベル感を合わせるために，政府がコンプライアンス関連の知恵を集めて提供していく必要がある。ガイドラインだったり，コンプライアンスに伴ういくつかの契約書の雛形（ひながた）を出すといったものだ。

自社で専門家を雇う余裕がない中小企業も含めて考える必要がある。業務をアウトソーシングする際，秘密保持協定や免責の協定がサービス提供者側に有利になっている。ここを是正するように働きかけていかないと，いつまでたっても中小企業にコンプライアンスが定着しない。

第3にマネジメントの強化が必要だ。ここがだめだと，企業が活性化しないし，セキュリティ・レベルも向上しない。利益とリスクを把握した上で決断をする，経営の検証を自分たちで実施し，必要があれば外部の第三者にも見てもらう。企業には，こうした当たり前のことをやっていってほしい。

ということでした。

とにかく、過剰反応を避け、適切な組織運営としてのセキュリティの判断、特に「リスクテイク」ができるようにならなければならないということです。そのためには、マネジメントの強化（というよりガバナンスの確立が先決と、個人的には思ってますが）が不可欠ということですね。

＜参考URL＞
「山口英情報セキュリティ補佐官インタビュー(前編)」