 |
 |
記事検索 |
イベントレポート |
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
「不要な個人情報は求めない」ヤフー井上社長、情報セキュリティを語る |
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
ヤフーが運営する「Yahoo! JAPAN」では、2005年9月時点で約4,000万人強のユーザーIDを発行しており、実際にこのIDでログインするユーザー数は1,400万人に上る。多数の個人情報を保有するヤフーでは、情報セキュリティの重点ポイントとして顧客情報の保護を最優先にしているという。 これを実現するために最も重要としているのは、「必要以上に情報を収集しない、蓄積しない」ということだ。例えば、ある年齢層に向けた広告を出すために個人情報を取得する際は、わざわざ生年月日を求めるのではなく、生年のみを要求する。エリアを絞った広告を出す場合には、郵便番号で十分なため住所を要求しない。井上社長は、「持っていない個人情報は絶対に漏洩しない」と語る。 ● ソフトバンクBBの情報漏洩を機に“性悪説”によるセキュリティ対策を推進 また、2004年2月にソフトバンクBBから約450万件以上の個人情報が漏洩したことに触れ、この事件をきっかけに“性悪説”を前提としたセキュリティ対策を推進していると述べた。外部からの脅威のみに備えていた既存の“性善説”による対策から、従業員を含めた内部の脅威にも目を向けることになったという。“性悪説”による対策を進めた結果、情報漏洩時に従業員の潔白を証明できるというメリットも生まれた。ヤフーでは、検索や地図サービスなどを提供するリスティング事業部のほか、オークション事業部、ショッピング事業部、Yahoo! BB事業部、メディア事業部など多岐にわたる事業部が存在する。これらの事業部に対しては、社外取締役を含む経営会議や、井上社長直轄の「情報セキュリティ本部」と「業務監査室」が情報セキュリティの牽制機能を果たしているという。また、情報セキュリティマネジメントシステム(ISMS)や監査法人によるチェック、「腕に覚えのある人にヤフーのシステムに侵入してもらう」という脆弱性検査などを行ない、情報セキュリティ対策を進めているとした。 なお、ヤフーの本社には重要な情報を保管するセキュリティエリアという施設がある。特定の社員だけが入室を許可されており、入出する際には金属探知器で保存メディアを所持していないか検査するほか、携帯電話などの私物はすべてロッカーに預けるなど、情報を外部に持ち出されない仕組みを採用している。情報が記録されているコンピュータはすべてオフライン。また、カスタマーサービスで顧客情報を閲覧する際には、個人情報はリストではなく1件しか表示しないなど、情報の取り扱いには細心の注意を払っているとした。 最後に井上社長は、「さらなるセキュリティ強化のためには、業界をあげての取り組みが重要」と語り、他社の優れたセキュリティ対策は自社にも取り入れるべきで、「自己満足はセキュリティ対策を後退させる」との考えを示した。さらに、明確な目標と現状認識が重要だとして、最終的には「普通に仕事をしていれば、意識をしていなくてもルールが守られているという状況が目標」と語り講演を締めくくった。
● 「情報セキュリティガバナンスを導入するインセンティブを」NISC山口補佐官
山口氏は、2004年度には情報漏洩事件1件あたりの平均損害賠償額が13億円に達したことに触れ、企業の経営者は情報セキュリティの運用に失敗すれば実際に経済的損失が発生することを念頭に置くべきだとした。そのためには、適切なコストを投じて内部システムを改善したり、情報セキュリティ監査制度によって監視するなど、内部規制を実現する構造を整えるべきと訴えた。 一方、企業が情報セキュリティに取り組んだ時に正しく評価される仕組みも必要であると指摘。政府では、インセンティブとして政府調達の入札参加者に(情報セキュリティへの取り組みを)入札条件の1つにするなど、情報セキュリティガバナンスを普及させる支援を図るという。 関連情報 ■URL 情報セキュリティガバナンスシンポジウム http://www.e-side.co.jp/information-security/
( 増田 覚 )
- ページの先頭へ-
|
