DXが抱えるリスクに抜かりない対策を――企業が今考えること(後編)
デジタル化が進む現代の平時におけるインシデント対応を解説した前編に続き、後編では有事の際に意識すべきこと、企業のガバナンス体制構築などについて、TMI総合法律事務所の寺門峻佑氏から解説いただきます。寺門氏からは、今後の企業が取るべき行動を具体的に示唆していただきました。(聞き手:編集部 村上尚矢、キムヨンミ)
寺門 峻祐氏
TMI総合法律事務所
パートナー弁護士
リスクマネジメントをはじめ、データ活用と情報セキュリティの実務に精通し、NISCタスクフォース、経産省臨時専門アドバイザー、陸上自衛隊通信学校非常勤講師、滋賀大学データサイエンス学部インダストリアルアドバイザーを歴任。国内外のデータ・ITビジネスのサービス設計・契約・紛争、様々な業界のセキュリティインシデント対応を多数取り扱う。情報処理安全確保支援士。米国、エストニアでの法律事務所勤務の経験も有する。
有事に心がけるべきは迅速な初動対応と早期の自社顧客への状況説明
――インシデント発生時、最重視・最優先すべきこととは何でしょう。
結論からいえば、インシデント検知後の初動対応が最も重要です。平時にあらかじめ組成しておいた有事対応のプロジェクトチームを迅速に立ち上げ、どんな順序でどんな対応行っていくかを、直ちに計画し、実行に移す。そこの動きで今後が決まるともいえるでしょう。
――具体的にどんな対応を行うのが理想的ですか。
まずは、事実確認、被害状況の把握、影響範囲の特定を有事対応のプロジェクトチームの立ち上げと並行して実施し、情報共有します。その後外部専門家を交えて前述のトリアージ(どんな順序でどんな対応を行っていくかの優先順位付け)を行い、必要・状況に応じて報告・通知・公表対応(速報)やお客様対応などを行う。ここまでの初動対応について、極めてタイトなスケジュールで、部署横断的に検討・判断していくことになります。そこからは、原因調査、復旧対応、報告・通知・公表対応(確報)、お客様対応、再発防止策の策定、その他セキュリティ対策の実装などの事後対策などを、事案に応じて順次行っていく。ただこれはあくまで基本的な動きです。企業の事業内容によって、追加される対応項目もあることはご認識ください。
――初動対応において重要検討事項となるのはどんなことですか。
これも企業や事案によって違いがありますが、一般的な傾向としては、被害者・お客様対応を最優先に考えることです。被害者・お客様にいかに迷惑をかけずに事態を収束させるか、インシデント発生原因についてどれだけ透明性のある説明ができるか、被害者・お客様に納得感のある再発防止策を策定できるか、このあたりがポイントです。要はインシデントを発生させた企業としての説明責任を果たすことが非常に重要となります。
自社の情報管理体制を整備し、最適なガバナンス体制を構築
――企業が適切な情報ガバナンス体制を構築できれば、企業が持つ情報の利活用によって新たな価値創造につながると思います。適切な情報ガバナンス体制を構築するために何を考慮すべきでしょうか。
まずは、データマッピングによる保有情報の可視化がなされていることが大前提となります。自社の保有情報がどんな状態にあるのか把握する、これは人間でいえば健康診断のようなものですから、それなくして適切な情報ガバナンス体制を整えることはできません。
そのうえで、可視化した自社保有情報のデータフローを前提に、自社の現状におけるリスク分析・評価を行います。例えば、プライバシーポリシーが自社のデータ利活用の取り組みをきちんと反映しているか、また、当該ポリシーに準拠した取り扱いがなされているか、といった点を分析していくことになります。事業部門において、データ取得時に示すべきプライバシーポリシーの内容と、想定しているデータ利活用のプランに関して、あまり意識されていないケースも多く、そのようなケースでは、違法な目的外利用がなされてしまう可能性が高い状態となります。これは企業にとって大きなリスクであり、情報を可視化し、リスク分析により計画的なリスク対策を実行していくことが重要です。
あるサービスの提供や施策の実施を検討する際、それらの実施可否や問題点の有無などについて、都度、個別に専門家に相談するケースもあるかと思いますが、それでは場当たり的な対応になってしまったり、非効率になってしまったりするケースも多いと思われます。一度、自社のデータの取り扱いの在り方を根本的に見直す取り組みをすることで、より適切なデータ利活用が実現できると私は考えています。戦略的なガバナンス体制構築のために、部門の壁を越えて企業が一丸となって動き、情報の可視化やセキュアな環境での保護、有事にも耐え得る情報管理スキームの導入などを検討する必要があるといえるでしょう。
――適切なガバナンス体制構築の際には、社員教育も1つのポイントになるでしょうか。
もちろん、社員教育は重要です。その際、個人情報保護法などに関わる一般的な研修を行うことも大事ですが、それだけでは、データ利活用に本格的に取り組む企業にとっては不十分だと私は思います。
例えば、自社におけるデータ利活用の取り組みにおいて、どの順序で何を検討すれば良いのか、個人情報保護法その他の遵守事項をベースとしたフローチャート・チェックリスト形式のデータ活用ガイドブックを策定し、そのうえで、当該ガイドブックの使い方を解説するとともに、自社におけるデータ利活用の頻出事例を取り上げて、この施策を実施する場合にどんな対応が必要か、実際にガイドブックの各項目をウォークスルーしていく(メンバー間で1つずつ検証、議論していく)、そんな研修もあっていいのではないでしょうか。こういった「実」のある研修も取り入れていくべきでしょう。
基礎となる情報の運用・保護・管理を徹底することで、セキュアな環境が作られる
――ところで、日本においてもデジタル庁が発足するなど、国全体にデジタル化推進の姿勢が見られます。それに際し、他国の成功事例を参考にすることも大切と思います。例えばエストニアは行政の99%がオンライン上で手続き可能であるなど、デジタル化に関して非常に先進的です。なぜそこまでデジタル化が進められたのか、その理由や背景などについて教えてください。
現在のエストニアでデジタル化していないのは、結婚と離婚の手続きだけです(*1)。そこまでのデジタル化に至った理由の1つとしては、1990年代前半から、政府が重点的にIT政策に注力したということが挙げられます。また、エストニアは国土が九州程度の広さで、人口は約133万人であり、デジタル化を推し進める機動力があったともいえます。加えて、ソ連の支配下から独立したという歴史的背景から、エストニア国民の自国政府への信頼度の高さもポイントになったのではないかと推察されます。
これら複数の理由があって、エストニアのデジタル化は急速に進みました。それと同時に、当然、情報セキュリティ対策にも力を入れています。エストニアは「X-Road」と呼ばれる分散型データ管理を実現するプラットフォームを用い、セキュアなデータ連携を実現しています。「X-Road」を使えば、必要な人が必要なときに必要なデータにアクセス可能である一方、データが分散管理されており、サイバー攻撃を受けても情報がすべて漏洩してしまうといったことがありません。こうした仕組みを中心として、適切なセキュリティ対策がとられています。
*1:https://e-estonia.com/solutions/e-governance/government-cloud/
――国民には、当然高齢者も含まれます。高齢者とデジタル化は親和性があまりないように感じるのですが。
エストニアでは、むしろ親和性があると捉えられていると思われます。人口に対し国土が広いため、高齢者にとっては、物理的な移動が大変な側面があります。そこで、デジタル化を進め、かつ、高齢者にも使いやすいプラットフォームを作って、丁寧にその操作を教えることにより、物理的な移動を不要にする。こうした取り組みが合理的だという発想です。もちろん、普及には苦労があったと推察されますが、現在では、デジタル化の恩恵を国民の多くが享受しています。
――情報の分散管理という点においては、日本の企業も学べるものがあるのかもしれません。
リスク分散型の対策を練っておくこと、これは見習うべきでしょう。また、エストニアは、政府が一体となって戦略的にデジタル化を進め、成功している、という点が注目されます。民間企業においても、自社保有情報を可視化し、リスクアセスメントのうえ、部署横断的な、適切なガバナンス体制を構築し、戦略的にデジタル化を進めることが重要です。エストニアなどの好事例を参考に、企業全体が連携をとって動いていく体制づくりへの取り組みに注力していってほしいと考えます。