セキュリティ情報

2018/02/20

3年後のセキュリティ要件を見据えた投資計画のススメ
– 世界の注目をビジネスチャンスに変えるために –

● 一生に一度のビジネス好機が2020年に

今、世界中から日本に関心が集まっている。今後、日本ではさまざまな世界的なスポーツ関連イベントの開催が予定されており、それらの成功に向け、日本政府も政策に「Cool Japan」を掲げて、日本文化や国内製品のアピールを展開。海外からの観光客も徐々に増加しつつあり、経済効果も出始めている。

こうした状況もあり、海外観光客に対して、あらたなサービスの提供を検討する国内企業も多い。将来的なビジネス成長も見込み、開発投資が進められている。

例えば、国内通信サービス各社は、2020年に「5G」の提供を目指している。現行の4Gと比較すると、100倍以上の高速データ通信が可能となる見込みだ。通信の高速化により、4K映像の配信やスムーズなショッピングなど、より利便性の高いサービスの提供が可能となる。

今、日本はかつてないほどのビジネスの好機は迎えつつあるといえる。多くの企業が世界に向けてサービスを提供し、事業を伸ばしたいと考えていることだろう。しかし、ビジネスにおいて個人情報を取り扱うのであれば、避けては通れない問題があることを忘れてはならない。

● 世界から注目されるからこそ

高まる世界基準のデータガバナンスの重要性

国境を越えて個人情報を利用する場合、そのほとんどで各国のいわゆる個人情報保護法に準じた情報管理を強いられる。しかし、こうした状況へ日本企業は驚くほど鈍感だ。

昨今、GDPR(EU一般データ保護規則)が話題を集めているが、イギリスなどでは以前からGDPRと同等の厳しい個人情報保護法が施行されている。イギリス国民の個人情報を域外で利用するにも制限があり、漏洩などが確認された場合は厳しい罰金や罰則が適用される。

ヨーロッパに限らず、シンガポールや中国も同様で、グローバルの基準に則した情報管理能力が問われている。しかし、日本はいわゆる「十分性認定」を得られていない。政府間においては改正個人情報保護法ベースで交渉が進められているが、情報管理が不十分な国であるとの扱いを受けたままだ。

日本は国としてGDPRの十分性認定が得られていない以上、各企業でGDPRに対応しなければならない。個人情報の取り扱いについて、いままでの国内におけるおざなりなやり方では、海外から信頼が得られないばかりか、脆弱な日本企業の情報管理について悪評が広がりかねない。世界からの注目が大きくなればなるほど、脆弱性などが悪評を招くと、企業にとって大きな損害にもなりうる。

日本企業はなぜ「個人情報保護法」が改正されたのか、その背景について理解し、グローバル基準に準じた情報管理、データガバナンスを視野に基盤を固めていく必要がある。

2020年を見据えたデータガバナンス構築ロードマップ


図1:2020年を見据えたデータガバナンス構築ロードマップ

昨今日本では、サイバーセキュリティが高いプライオリティで議論されている。しかし、ビジネスの成果に直結しにくく、投資も渋りがちだ。しかし、視点を変えて今後のビジネス革新に直結する情報管理、データガバナンスといった観点から捉えれば、「攻めのセキュリティ投資」とも考えられる。

クラウドシフトが進みつつある現在、すべてのデータをオンプレミス上で管理し、外部活用しないという選択肢はない。コンプライアンスに関わるデータを保護し、クラウドを活用できる取り組みが求められる。今まで保険と見られがちだったセキュリティの投資に対する考え方を転換しなければならない。

● 今、取り組むべきことは

「3年後を見据えて」ロードマップをひく

上記のような状況を踏まえると、今後企業が取るべきセキュリティ施策は、非常にシンプルで、「データを保護する」ことだ。しかし、今日の日本企業は「データの所在」すら十分に把握できないまま、クラウドシフトや情報共有を行っている。

まずはどのようなデータがどこでどのように活用されているのか。オンプレミスに限らず、クラウド上のストレージサービスやメールサービス、データの共有ポイントなど、全般にわたりデータの棚卸しを行う必要がある。

日本企業が未対応なデータに対するセキュリティ


図2:日本企業が未対応なデータに対するセキュリティ

GDPRへの対応に関しても、データの利活用状況を把握しておかなければならない。もし対策を怠れば、情報漏洩などインシデントが生じた場合に対処できないためだ。データを横断的に可視化し、コンプライアンスの観点から対策が必要となるデータは、暗号化や匿名化、共有禁止、アクセス制限など、自動的に制御することが求められる。

グローバルでは当たり前とされる項目も、日本では長らく対応してこなかったため、GDPRへの対応を進める企業からはそのギャップに苦しむ声も少なくない。しかし、こうした基盤なくしては、グローバルの個人情報を活用したビジネスの展開は不可能だ。

まずは社内でどのようなレベルの機微情報が、どのような形で共有、活用されているのか現状把握(アセスメント)し、ニーズを踏まえた上で適切なクラウドサービスを選定する。

あたらしいビジネスを企画する場合も、「CASB」や「DLP」などデータの可視化や制御を自動化する技術を活用するなどGDPRに求められるデータのガバナンスに対し、順序立てて同時並行で実装していくと良いだろう。

セキュリティ情報トップへ戻る

シマンテック セールスインフォメーション(法人のお客様向け)

※2014年2月17日よりお問い合わせ番号が下記のものに変更となりましたのでご注意ください。

電話でのお問い合わせ
03-4540-6226
受付時間:10:00~12:00、13:00~17:00
月曜日~金曜日(土・日・祝日を除く)
WEBからのお問い合わせ
お問い合わせフォーム
セキュリティの緊急事態発生時は
インシデントレスポンスサービス
Email : incidentresponse@symantec.com
0066-33-813-303(フリーダイヤル 9:00-17:30* )
*時間外は留守電もしくは英語対応になります。
お問い合わせの前に
お問い合わせが集中しお電話がつながりにくくなる場合がございますが、水曜日、金曜日は比較的お電話がつながりやすい傾向にあります。
なお平日の10:00~11:00及び15:00~17:00の時間帯はお待たせする可能性がございます。また月末月初やGW/夏休み前後、年末にはお問い合わせが集中することが予想されます。