今回は、情報保護（情報セキュリティ）についてご紹介します。ＩＴの視点ではなく、ヒト・モノ・カネと並んで重要な経営資源である、「情報」を誰が、なぜ、どのように守るべきか、という視点で解説します。

近年日本では個人情報の流出事故が相次ぎ、事故を起こした企業にとっては、流出した個人への補償などの金銭的な影響だけでなく、行政指導や事故を起こした企業の信用低下など、金額では測ることのできない大きな影響が出ています。また、先日、大連で顧客情報が入ったパソコンが盗難に遭い、ニュースとして日本でも報道されました。

日本では、いわゆる個人情報保護法の民間企業への適用が来年4月から始まることから、現在多くの企業・団体で、この法律の施行に間に合わせるように、プライバシーやセキュリティの管理基準策定といった個人情報保護体制の整備を急いでいます。中国に進出した日系企業でも、親会社で定められた情報保護関連の方針やルールに準拠し、中国における情報保護のルールの整備と実施を求められているケースが見受けられるようになりました。

「利用」か「保護」か

また、製造業では技術流出防止および知財管理の観点、金融業ではシステムリスク管理の観点などからも情報保護の重要性が高まっており、中国でも多くの企業が情報保護に取り組み始めました。

一方で、情報保護ばかり強調しては、情報の利用が阻害されて経営スピードが遅くなり、この中国ではやっていけない、あるいは、大切なのは現業で、そればかりやっているわけにはいかない、という声もあります。コンサルタントがよく聞かれることは「他社がどうやっているのか、教えてよ」というものです。ほかでは自分が知らないとても楽な方法で情報保護を実施しているのでは、ということでしょうか。

情報保護は、他社よりも一歩でも先に進むために情報をどのように利用するか、という情報利用の方針をまず考えた上で、その情報利用の際に必要なリスクマネジメントとして、組織的に取り組む必要があります。例えば、研究開発情報を、多くの人で共有し多くのアイデアを出し合いさらに良い情報を生み出そう、と考えている組織と、組織にとって重要な情報なのでなるべく限られた人のみで利用し保護していこう、と考えている組織では、当然情報保護の方法が異なるわけです。また、クレーム処理は決して後始末ではなく、業務改善と新製品のアイデアの宝庫であると考えれば、その情報の利用と保護のやり方も変ってくるでしょう。従って、他社の真似では、自社では不要な管理が行われたり、ＩＴに逆に使われてしまう状況に陥ったりします。

他社より一歩でも先に進むための自社独自の戦略的な情報保護を考えるにあたっては、いきなりお金をたくさんかけて高いレベルを目指さないといけないものではありません。組織の管理責任者であれば、まずは自社の情報利用状況を分析し、その利用状況に対して、リスクの最も高い部分から対策を考えてみてください。ＩＴだけが解決策ではありません。もしかしたら情報利用ルールを見直し、管理責任者がしっかりモニタリングするだけでも、ずいぶんと違うかもしれません。どこまでお金をかけて守る必要があるのか、は管理責任者の判断で決定し、組織の競争力を高めるために、一歩一歩少しずつでも情報保護の管理レベルを上げていきましょう。

※本文は著者個人の意見であり、所属する法人とは関係ありません