JTB社情報漏えい事件からみた情報セキュリティとコーポレートガバナンス
さて、ひさしぶりの「コンプライアンス経営はむずかしい」シリーズのエントリーでございます。少々長いですが情報漏えい問題に関する(上から目線ではない)私の思いを綴っておりますので、よろしくお付き合いください。
すでに報じられているとおり、JTBさんは6月14日、自社のサーバーが不正アクセスを受けてオンラインサービスから793万件の個人情報が流出したおそれがある、と公表しました。今年3月15日に取引先を偽装したメールがグループ会社に届き、20代の社員が添付ファイルを開けてしまいました。これが原因で端末がマルウェアに感染したそうで、25日になってようやく遮断措置を完了、その後、データファイルが作成されていたことが確認され、ファイルを復元したところ顧客情報が流出した可能性があることが判明しました。マルウェア感染から2月半後に公表に至ったという流れのようです(6月15日までの報道に基づく)。
私は情報セキュリティ全般については素人ですが、昨年の日本年金機構事件によく似た事件だと感じます。標的型メールを想定して、JTBグループ会社は月2回の割合で不正アクセス対策の予行演習をされていたそうですが、それでもやっぱりメール添付ファイルは開けられてしまうのですね。専門家の方々もおっしゃるように、不正アクセス対策が個人の注意力に依拠する以上、もはや感染を100%防止することは困難で、PCやサーバーはマルウェアに感染してしまうもの・・・といった前提で情報漏えいリスクを管理しなければならないのではないかと。
情報漏えい事件がこれだけ厳しく問われ、ベネッセ社のように社長交代に至るほどの業績悪化を招く事態が想定されますと、JTBさんのように「漏えいの可能性」という段階で公表する企業はまだコンプライアンス的にはマシなほうで、おそらくサーバー感染が確認された企業においても、まったく公表していないところが多いものと推測します(そもそも情報漏えいの可能性があったとしても、実際に漏えいの事実が確認されるまでは公表しない、という経営判断を下している会社は多いと思います)。
ここ2年で5件ほど情報漏えい事件の危機対応に関与させていただ経験上、業務の効率性と不正アクセス防止の有効性を両立させるためには、(私個人の意見ですが)当社グループは不正アクセスによって感染するのは仕方がない、そのうえで感染しても情報を漏えいさせないためにはどうするか、といった管理指針が必要だと考えます。そのために必要だと痛感するのが親会社におけるCISO(最高情報セキュリティ責任者)の選任です。取締役や執行役員の中から、CISOを選任して、どの専門業者に委託するのか、どれだけのセキュリティ予算を組むのか決定する権限、そしていざというときのセキュリティ権限(遮断権限)をCISOに委譲し、その最終責任を担っていただきます。
最近のコーポレートガバナンス改革において「モニタリングモデル」への移行が議論されていますが、リスク管理という視点において本当に情報セキュリティの重要性を認識している役員は、実際に痛い目に合った方以外には、ほとんどいらっしゃらないように思えます。みさなん「情報を漏えいされたことの被害者意識」が強いためか、「顧客に対する加害者意識」が不足しています。他の会社に対するサーバー攻撃の新たな「踏み台」として、さらなる被害を出しかねない「加害者意識」にも思いが至らないようです。したがって、有事になったら専門業者に任せておけばよい、といった風潮が危機に直面した企業でも根強く残っています。
しかし、情報セキュリティの専門会社にしてもそれぞれ得意分野があり、急場に稼働できる人的資源にも限りがありますので「このタイプの事件はこっちが受託者で、こっちが下請け」といった役割分担が求められます。おそらく日常から専門会社と信頼関係を形成しておかなければ、有事にこのような手配は困難です。そして実際に情報漏えい事件が発生すると、そもそも権限も持っていないのに「社内処分」として、社内の担当者が責任をとらされます。「そんなアホな」といった事態が見受けられます。情報セキュリティの重要性を取締役会で認識するのであれば、処分にふさわしいほどの権限をまずCISOに付与して、自由にセキュリティ対策をとれるような体制が必要です。
「むずかしいことは担当者にまかせる、予算が必要なときはみんなで決める」といった取締役会の雰囲気の会社では、おそらくJTBさんと同じ事件は間違いなく発生すると思います。公益通報の対象にもならない事件ですから内部告発の可能性は少ないはずですし、取締役の方々は顧客に被害が及ばないことに「賭けて」あえて公表しない、といった経営判断を下すことになってしまいます(情報漏えいの事実確認は、広く国民の協力を得なければ困難だと思うので、可能性が判明した時点で公表すべきであり、このような判断は取締役にバイアスがかかった最悪の事態だと申し上げたいですが、これが現実です)。法律専門家や調査分析を担当したセキュリティ業者が「公表すべき」と進言しても、これに応じる会社さんと応じない会社さんがいらっしゃいます。警察の捜査に協力することは重要だとしても、捜査に必要な範囲で情報開示を控えることと、顧客の利益保護のために必要な範囲で情報を開示することの違いは冷静に判断しなければ、取締役の善管注意義務違反になりかねません(情報漏えい事件が起きた時に、警察捜査がどのように行われるか、という点を大手法律事務所や監査法人のリスクマネジメント部隊の方々に指導いただくことも有益です)。
取締役会改革の中で「執行と監督の分離」ということが言われますが、経営判断の迅速性を高めるために「担当者に任せる」ということは、責任を負わせるにふさわしい権限を付与することです。情報セキュリティが重要な経営判断だとすると、企業には、ひとりの取締役、執行役員に、予算編成や業者選定そして、企業活動にとって重大なネット環境の制限という権限まで、すべて任せる覚悟はあるでしょうか。「こうすれば情報漏えいは防ぐことができた」「こうすれば感染せずに済んだ」といった後だしジャンケン的な議論がなされることが多いと思いますが、私はまさにCISOの選定(情報セキュリティは重大な経営判断事項であることの共有)、そして責任に見合う権限を委譲する取締役の覚悟が最も大切だと考えます。
最後に「執行と監督の分離」における「監督」ですが、情報セキュリティ部隊をまとめるCISOに必要なスキルはセキュリティ会社との信頼関係の維持とグループ会社における人材確保(縦割り部隊をマネジメントする力)だと思います。ともすれば業者の言いなりになってしまったり、利益相反を疑わせるような癒着が生じたり、グループ会社の協力体制の空洞化(情報セキュリティの重要性に関する認識が親会社とグループ会社で大きな温度差が生じてしまうこと)が問題視されます。これらの点だけは取締役会としてCISOを監督する必要がありますが、それ以外は彼の良心に委ねて職務の遂行に期待するほうが適切ではないでしょか。
| 固定リンク
コメント
私は先生と立場を異にします。
システムについては社長直轄ないし取締役会直轄にするべきと思っています。
システム上の問題が発生すれば、役員ともども皆、連座して討ち死に。
それぐらいに自分の問題として認知させなければ、形式的に権限を持たせても肝心の予算がついてこなかったり、業務非効率を理由にセキュリティを骨抜きにされたりするのがオチです。
担当のオフィサーなど、体のいいトカゲの尻尾を作るだけになるので、むしろ有害と思っているぐらいです。
投稿: 場末のコンプライアンス | 2016年6月17日 (金) 11時49分
私もどちらかというと場末さんと同じぐらいの勢いが必要と思います。
システムは企業の根幹です。私なぞ、システム担当者からITのアドミン権限を自主的に教えてもらったぐらいです。全員のメールを読めます。監査で。やばいです。消しても全部復元できます。
通訳も兼ねているので、秘密などありません。旧ソ連の秘密警察レベルです。全員の動きがわかります。だれが嘘を言っているか全部わかります。経営トップ含めて。
投稿: 工場労働者 | 2016年6月18日 (土) 20時26分