企業がいま真剣に検討すべき国際情勢リスク
第40回:経済安全保障に向き合う時代変化(6)
![多田 芳昭](/mwimgs/5/f/-/img_5fb064bf70a58ab329d42becf60d11b311027.jpg)
多田 芳昭
一部上場企業でセキュリティー事業に従事、システム開発子会社代表、データ運用工場長職、セキュリティー管理本部長職、関連製造系調達部門長職を歴任し、2020年にLogINラボを設立しコンサル事業活動中。領域はDX、セキュリティー管理、個人情報管理、危機管理、バックオフィス運用管理、資材・設備調達改革、人材育成など広範囲。バイアスを排除した情報分析、戦略策定支援、人材開発支援が強み。
2023/05/30
再考・日本の危機管理-いま何が課題か
多田 芳昭
一部上場企業でセキュリティー事業に従事、システム開発子会社代表、データ運用工場長職、セキュリティー管理本部長職、関連製造系調達部門長職を歴任し、2020年にLogINラボを設立しコンサル事業活動中。領域はDX、セキュリティー管理、個人情報管理、危機管理、バックオフィス運用管理、資材・設備調達改革、人材育成など広範囲。バイアスを排除した情報分析、戦略策定支援、人材開発支援が強み。
激変する周辺環境の影響を受け、企業活動のリスクとして真剣に向き合うべき事項をいくつか簡単にお示ししたい。
まずは広義の「セキュリティ・クリアランス」であろう。広義としているのは、狭義の意味と明確に対処を分ける必要があるからだ。
本来のセキュリティ・クリアランス(狭義)とは、国家の機密情報の取り扱いを認める有資格者の認定制度であり、民間企業が当該事業に関わる際、有資格者にのみ閉ざされた情報の取り扱いが可能になる。例えば米国の機密情報に関わる事業に参画するためには、セキュリティ・クリアランスの有資格者による情報管理体制がなければならない。
この認定には当人のみならず、家族を含めたバックグランドのチェックとして、特定の有害活動やテロとの関係、犯罪歴、精神疾患や薬物・飲酒に対する節度、経済的な状況に至るまで確認される。当然ながら本人同意のもとで確認されるのが原則であり、判定自体は個々の企業が行える範疇ではなく、国家・政府として公平な基準で行う必要がある。当たり前だが、個々の企業の独自基準での判定は通用しないのである。
近年、この国家機密情報に関わる事業の範囲は拡大傾向にある。昨今の技術発展の現実を踏まえると、半導体やAI、暗号化、セキュリティなどのシステム技術等、相当広い範囲で対応が必要になる可能性が高い。
日本でこの対象となる法制度は、現時点では特定秘密保護法であるが、対象が国家公務員に限られており、今後、民間企業も含めた法制度と運用体制の拡大が急務である。それができないと、国際連携の開発事業などに民間企業が参画できなくなってくる。
企業としては、それらの事業に従事する従業員本人の同意確認、公共の認定を受けた有資格者に対する処遇、本人の意思と反し認定が受けられなかった場合の組織人事的対応、該当組織のセキュリティ管理を含めた維持運営など、課題は山積であろう。
そして広義の意味では、米国でいうところのCUI(Controlled Unclassified Information)管理された格付け情報に関わる情報保全制度への対応も、現実のビジネスシーンでは起き得る。本来これはセキュリティ・クリアランスとは呼ばないが、同様の機密保護管理が求められるので、ここでは広義の意味として考える。
これは個々の事業において、その情報機密レベルに応じた対応を相互に要求される可能性があり、その範囲は広がるだろう。企業では自社事業の市場環境、取引先企業の意向なども見極め、それぞれに必要なレベルを見極め、適応した維持運営・情報管理体制強化と、その事業に対応する人員の独自基準でのセキュリティ・クリアランスが必要になるだろう。
これらは事業視点で必要に迫られる企業も少なくないだろうが、その整備は簡単ではない。なかでも、従業員の機微情報にまで至る個人情報管理、それによる差別等を防止する観点で、相当にハードルが高いだろう。
再考・日本の危機管理-いま何が課題かの他の記事
おすすめ記事
安易にさわると火傷するOT環境のシビアさ
PART1では、企業を取り巻くデジタルリスクの現状と課題を見てきました。PART2はモノの生産に直接関わる工場に焦点をあてます。OTがITと融合しインターネットにつながることで、これまでにない脅威が侵入している生産環境。PwCコンサルティングの上村益永氏に、工場のシステムリスクとセキュリティー対策の取り組みを聞きました。
2024/06/17
最も対策ができていないのは「過去の降水量調査」自社施設の浸水リスク「不明」との回答も多数
リスク対策.comはこのほど、企業の水害対策の取り組み状況を把握するとともに、BCPにおける課題を明らかにするため、豪雨災害を想定したシミュレーション型のアンケートを実施した。アンケートは、6月のある日、大雨が降りだし、線状降水帯なども発生し、企業が被災するというシナリオを、フェーズごと20の質問にして提示し、企業が各シナリオに対してどの程度備えているかを「1.全くしていない」~「5.かなりしっかりしている」の5段階で自己評価してもらった。リスク対策.comのメールマガジンの購読者および全国の経営層を対象にしたインターネット調査で計667件の有効回答を得た。
2024/06/15
危機管理担当者も押さえておきたいソフトウェアサプライチェーンにおけるSBOM管理の基本知識と企業への影響
本勉強会では、株式会社日立ソリューションズのSBOMエバンジェリストである渡邊 歩氏にSBOMの基本的な知識をわかりやすく説明していただくとともに、グローバルに加速するSBOMが必要とされる社会的背景と、企業経営や事業活動に及ぼす影響についても解説していただきました。2024年6月7日開催。
2024/06/12
リスク対策.com編集長が斬る!【2024年6月11日配信アーカイブ】
【6月11日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:BCP支援のあり方
2024/06/11
基本からわかる脱炭素対策!排出量の算定と効果的な削減方法を徹底解説
本勉強会では、排出量の算定と効果的な削減方法について解説していただきました。2024年5月28日開催。
2024/06/06
デジタルインシデントはハザード級になっている
システムトラブルに起因するインシデントが多発しています。業務システムが大きく複雑になるほど、止まったときの影響も甚大。DX が進むことで、それはハザード(災害)級になりつつあります。神戸大学大学院工学研究科特命教授の森井昌克氏に、企業を取り巻くデジタルリスクの現状と課題、対応策を聞きました。
2024/06/06
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方