プライバシーマーク取得情報

ここでは「セキュリティ対策の真の狙い」と、「今後のセキュリティ対策の方向性」についてについて考えたいと思います。

【１】セキュリティ対策の真の狙い

「法律対策」・「企業のリスクヘッジ」・「他社との差別化戦略」という話を前項でさせて頂きました。

セキュリティ対策には、「お金」がかかります。ＩＴ・ネットワーク、建物設備、プライバシーマークの取得など、多方面から投資をしなければなりません。

最近、プライバシーマークの取得そのもので満足してしまい、経営に活かしていない企業が散見されます。非常に勿体無い話です。

セキュリティ対策を実施している場合、特に第三者がお墨付きを与えている「プライバシーマーク」を認証取得した場合は、積極的にＰＲし、営業活動に役立てるべきだと思います。お客様・お取引先からの信用獲得は、大きな武器です。

つまり、リスクヘッジ等のマイナス志向の発想ではなく、業容拡大に結びつけるプラスの志向、さらにはブランドイメージおよび企業イメージ維持向上が本当の狙いです。

かかる経費をコストと捉えず「投資」と捉え、投資であれば必ず「回収」を考える、このようなスタンスで考えますと必ず経営面でのプラス効果が発揮されるでしょう。

【２】今後のセキュリティ対策の方向性

情報漏洩事故多発に伴い、各企業は様々な対策を行ってきました。

ファイアウォールの導入、ウィルスソフトの導入、暗号化ソフトの導入など、インターネット社会に対応した対策です。

しかし、ＩＴ・ネットワーク関係のセキュリティ対策では事故は防げません。

今後のセキュリティ対策は、以下の切り口で考えることが重要です。

トップ方針、会社方針として推進すること

今の時代、担当者レベルやボトムアップでは有効なセキュリテイシステムは構築できません。情報漏洩が発生した場合のダメージを考えれば、会社全体の課題として捉えなければ失敗します。

計画的に推進すること

セキュリティには100点満点はあり得ません。つまり、やり方によってはセキュリテイコストは無尽蔵に膨れ上がります。こうした無尽蔵なコストを会社は吸収できません。

会社の体力を睨みながら計画的に推進しましょう。本年度は〜まで、来年は〜まで、という発想が必要です。

総合的に、多方面から対策を実施すること

ＩＴ回りを強化しても社内ルールを策定実行しなければ事故は起こりえます。社内ルールを策定実行してもサーバーに進入されたら終わりです。

つまり、

• ＩＴ、ネットワークの観点
• 施設建物の観点
• 社内ルール等、マネジメントの観点
• 書類、データの保護廃棄の観点

など、総合的な対策が重要です。

上記の内容はご理解いただけると思いますが、企業様から捉えると”具体的には、どこから、どうやったらいいのか？”という悩みが発生します。

最もわかりやすい解決策が、「プライバシーマークの認証」・「ISO27001(ISMS)の認証」です。

プライバシーマークやISO27001の規格には上記の内容が網羅されています。これらの認証を取得すれば、上記の総合的対策が自動的にカバーされ、かつお客様やお取引先にＰＲできるわけです。

つまり、プライバシーマークやISO27001の認証取得は、セキュリティ対策ができると同時にＰＲ（競合他社との差別化）の一挙両得になるのです。

こうした背景から、認証取得を目指す企業様が激増しているわけです。