経営課題としての情報セキュリティ

	阿多親市氏 ソフトバンクBB株式会社 常務取締役 兼 CISO 1958年生まれ。1982年にアイワに入社、1987年にマイクロソフトに入社。マーケティング部部長、パーソナルシステム事業部長を経て、2000年5月に代表取締役社長に就任。2003年ソフトバンクBB常務取締役、2004年3月より同社情報セキュリティ管理責任者(CISO)を兼任。

阿多氏はアイワでCDプレイヤーとDATの製品担当を経験した。CDプレイヤーがはじめて世間に登場したのが1982年。同氏は自らマーケティングを担当したCDプレイヤーが普及し、レコードがCDに置き換わる様子を目の当たりにした。DAT（Digital Audio Tape）はアイワが世界で初めて発表した製品だ。同氏はDATのマーケティングでも中心的な役割を果たす。この経験が同氏に転機をもたらすきっかけの1つになる。

「DATはオーディオのメディアというよりも、コンピュータに活用されていくものだと思い始めたのです。当時は5インチのフロッピーでパソコンが動き、ハードディスクは非常に高価だった時代です。DATのような大容量メディアがコンピュータを普及させ、すべての家庭や会社にコンピュータが入り、生活や仕事が楽しいものになっていくかもしれないと考えたのです」と阿多氏は語る。その後同氏はマイクロソフトに入社し、Windows 3.1そしてWindows 95の販売を成功させる。Windowsはブロードバンド時代の到来とともに人々の生活を大きく変えることに貢献した。

しかし2000年以降はマイクロソフトにとってブロードバンドがさまざまな受難をもたらすことになる。CodeRedを始めとするWindowsの脆弱性をついたコンピュータウイルスが次々と登場したのだ。このとき同氏は日本に来たビル・ゲイツ氏に嘆願したという。

「このままでは企業にWindowsを導入していただけない。製品の見直しとすべてのプログラマーの教育をやり直すべきだと提案しました」（阿多氏）。その結果、マイクロソフトはすべての製品の出荷を半年遅らせることになる。「DATの登場ではコピーという著作権問題に遭遇しましたが、インターネットやネットワークにつながるPCは、止まっただけでビジネスの損害になります。情報セキュリティの損害の規模が非常に大きいことをここで経験しました」

阿多氏は「もう一度世の中を変える一助を自分ができれば」との思いから、その後ソフトバンクBBに常務として参加することになる。ソフトバンクBBでは、顧客情報流出事件に遭遇し、CISOの任務を引き受けることになった。そしてその後、情報システムとカスタマーサービスの両方をも担当するようになった。

	ソフトバンクBBの情報セキュリティ対策の基本方針
	多くの企業が「個人情報保護法案」の施行を前にして、参考にしていると言われる考え方をまとめたもの。個人情報保護を4つの側面から対策する。 [拡大画像を表示]

情報流出は、ソフトバンクBBの社員ではなく、外部の業務委託先によって行われたものだった。ソフトバンクBBの急激な成長を支えたのは、現場を優先した個別プロジェクト方式と顧客獲得と大量の業務処理を目的とした外部委託の多用という手法である。急激な成長を支えた構造が、業務委託先による情報流出を許してしまったのだ。

情報セキュリティ対策の大幅な見直しが求められた同社は、CISOの阿多氏を頂点に据え、完全なトップダウンでのセキュリティ管理体制を築く。同社が打ち出した情報セキュリティ対策の基本方針は「1.組織的安全対策」「2.物理的安全対策」「3.技術的安全対策」「4.人的安全対策」の4点を基本重要項目とするものだ。それぞれの方針は次のように実施されることになる。

「組織的安全対策」としてはCISOを立てた。組織としての安全対策にあたっての責任の所在を明確化させたCISOは、セキュリティについて問題が発生した有事の際の責任者という立場に立つ。さらに組織上の仕組みとしては、CISOの下に全社組織の委員会や抜き打ち用の監査役などを設置している。「物理的安全対策」では、入退室管理や私物持ち込みの禁止といった対策のほか、指紋認証システムなどの生体認証システムを取り入れている。

「技術的安全対策」として、ネットワーク内のすべてのアクセスログは監視され、ファイル共有ソフトやUSB端子などは利用した時点でアラートが発生するようになっている。「社員が使っているPCはすべて会社の資産であり、それ以外のことは自宅のPCで、というのが基本方針です。メールやインターネットの履歴もすべてログを保持しています」（阿多氏）。ただし、「基本的にはロボットによるフィルタリングであり、本当に不審な場合のみ人間の手を介します」と補足する。

「人的安全対策」については、スタッフの教育をeラーニングで実施するほか、業務委託については個人から誓約書を取得する。これについて阿多氏は「業務委託の個人と誓約を交わすのは派遣法違反ではないかという話もありました。しかしセキュリティに対する考え方に納得いただいた企業とのみ業務委託を行っています」との取り組みを語る。

この点について阿多氏は、ITとセキュリティをITガバナンスの視点から考えるべきだと説明する。

「ITの進化によって、業務プロセスが変化したり新しいビジネスが生まれます。すなわちITを無視した経済活動はあり得ません。プライバシーについて話すCPO（Chief Privacy Officer：最高プライバシー保護責任者）、リスクについて話すCSO（Chief Security 　Officer：最高セキュリティ責任者）、業務効率を計算するCIO（Chief Information Officer:最高情報責任者）のいずれも必要なのです。

その中でのCISOの役割とは、ITを使った事業の継続とセキュリティ対策の両方を見る立場にあります。大きな権限が与えられることで、決定権においてスピードが得られます。また、決定した内容をトップダウンで現場へ素早く伝えることができます」（阿多氏）

実際同社は、約半年という期間で、今まで管理外にあったあらゆるものを管理下におき、不要なものは捨てるスクラップ・アンド・マネージドを行った。部門単位で置かれたサーバーは廃棄し、属人的な管理をなくし、隠れた脆弱性をなくした。

	ソフトバンクBBの情報セキュリティ管理体制
	CISOはITを使った事業の継続とセキュリティ対策の両方を管理する大きな権限を持つ。 [拡大画像を表示]

加えて、顧客情報のアクセスに関しては担当業務によってレベル分けをした。顧客情報を扱う部門はすべてレベル３以上の高セキュリティエリアとされ、より厳密な情報の管理が行われている。例えば、コールセンターや営業部門はレベル3となる。

顧客情報の表示は１画面につき１件のみであり、顧客情報のコピー＆ペーストは端末に制限をかけて不可能にしている。情報システム部門はレベル4、データセンターはレベル5と規定し、レベルが上になるほど情報へのアクセシビリティが厳しくなるよう規定し、情報流出を防ぐ体制を整えている。

	徹底した顧客情報の管理
	CISOを管理責任者とした徹底した管理体制のもと、アクセス制限が厳密化されている。 [拡大画像を表示]

阿多氏はさらに加えてこう話す。
「国内では個人情報保護法の施行、米国では米国企業改革法「Sarbanes-Oxley Act」（SOX法）の制定があるなど、いま、ビジネスの世界ではドキュメントの管理、情報の透明性が求められています。情報を守ること、そしてその情報を開示することの両方に高いレベルが求められているのです」

いま、21世紀型のエコノミーと人々のライフスタイルの変化が、企業に新しい義務を課しているという。それを阿多氏は「個人の権利や意向が尊重されるというのが、これからの世の中の流れだと考えています」と語る。

さらに個人情報保護法の基本理念について阿多氏は次のように考えている。「個人情報保護法の基本理念は個人の権利の保護だと考えています。顧客の生活の利便性を向上させたり、豊かな生活を提供するための提案をしていきます。個人情報というものを適切に扱って国民全体の生活レベルを上げていくのが個人情報保護法の精神だと理解しています」

日本の総人口１億２千万人の経済サイクルの中で、人々の生活にプラスになるためのさまざまなサービスを提供するのが企業だと阿多氏はいう。その企業活動を円滑にトラブルなく進めていくためにあるのが個人情報保護法だというわけだ。

「弊社の情報インフラ事業の上に、今後はコンテンツサービスが提供されていくことになります。個人情報保護に対する正しい考え方をもって、いかに顧客と信頼関係を継続していくかが、弊社の大きな課題であり、かつ21世紀型企業にとって必要なことではないかと考えています」（阿多氏）