RSAカンファレンス2008特集　内閣官房情報セキュリティ補佐官山口英氏インタビュー(2)

内閣官房情報セキュリティ補佐官の山口英氏に、2008年4月23日（水）、24日（木）に開催されるRSA Conference Japan 2008の基調講演のテーマである「わが国の情報セキュリティ政策の第2段階に向けて」に関連して、2006年から3カ年計画として開始し、2008年に最終年度を迎える「第一次情報セキュリティ基本計画」についてと、2009年から始まる「第二次情報セキュリティ基本計画」などについてお話しをお伺いした。

■第二次情報セキュリティ基本計画策定に向けてどういう議論が行われているのでしょうか。

今は、第一次情報セキュリティ基本計画実施の過程で見えてきた問題を解くことも踏まえ、第二次情報セキュリティ基本計画の策定に向けて取り組みを始めています。

一つは、リスクを許容できる社会をどのように作るのかということを議論し始めています。情報セキュリティ管理は、リスク管理の一つであると言えます。リスク管理では、”リスクを顕在化しないようにすること”と、”起きてしまった場合にどうやって対処するかということ”を考え、両者のバランスを取ることが重要です。しかし、日本ではリスクを顕在化しないようにすることには理解がありますが、トラブルが発生した場合には「恥」と考えて変な取り扱いをしてしまったり、逆にトラブルを起してしまった組織をここぞとばかりバッシングしてしまったりします。

例えば、今の世の中、企業がひとたび個人情報漏えいを起こしてしまうと経営危機に陥ってしまうぐらいのパンチ力があります。しかし、そこまでエスカレートさせてしまって良いのかどうかを議論することは必要でしょう。個人情報保護法が施行されて何年か経ちますが、個人情報保護についての社会コンセンサスを再形成させることも大切です。もちろん、個人情報が漏れて良いわけではありませんし、企業がその対策を怠ってはいけませんが、リスク管理がどちらか一方に偏ってしまうと、過大な投資コストが掛かってしまうことを認識しなければなりません。しかし、それでもリスクはゼロにはできないのです。

こういった問題は個人情報保護だけに限りません。さまざまな法律やガイドラインでも同じことが言えます。作成時には、ステークホルダー間のコンセンサスがあったわけですが、年月が経つとステークホルダーの立場も変わり、構成も変わります。再び、ステークホルダー間のコンセンサスが維持されているのかを検証して、ガイドラインの見直しや法律の見直しをする必要があるはずです。情報セキュリティに関わる広い要素を、改めて検討し直すことをも必要だと考えています。

二つめは無謬性と地域間格差の問題です。現代の社会はリスク管理において無謬性を強く求めています。大企業であれば対応することもできるかもしれませんが、中小企業や個人はどう対応すればいいのかという問題があります。

また、情報セキュリティなどのプロフェッショナルなサービスが地方にはなく、東京に集中してしまっています。地方の地元に根付いた中小企業などは東京に移転するわけにもいかず、サービスを受けることができません。

地方分権の時代においてバランスある国土の発展のために、日本としての基盤のあり方はこれでいいのかという議論を行うことが必要です。リスク管理政策の中で、単なる危機事態対応というだけではなく、この国の基礎体力となる体質改善を行うことが必要なのです。

第二次情報セキュリティ基本計画では、これらに限らず、社会変化、技術の進展、さらには専門家から構成される検討委員会や、情報セキュリティ政策会議での議論を踏まえて情報セキュリティにおいてどうすればいいのかということを考えていきます。

■犯罪化やプロ化が進む中、情報セキュリティ政策はどのように変わるのでしょうか。

政策の立案においての方法論として、一つは行政側が手を尽くす方法、もう一つはできる限り民間の自主性に任せる方法があります。

リスク管理においては、行政が手を尽くすとその場は問題が解決するかもしれませんが、社会コストの上昇を招くことも多く、結果としてマーケットを弱めてしまうことにもつながります。一方、民間の自主性に任せた場合には、強いマーケットを維持することもできますが、どうしても一定の被害者がでてしまいます。企業や市場の重要性と、被害をどのように防ぐのかというバランスが難しいのです。

リスクをある程度許容する社会なのであれば、マーケットに任せてやっていくという考え方もあります。また、政府が規制を加えていくという考え方もあります。ただ、規制を加えると参入障壁となり世界から孤立したマーケットになってしまうかもしれません。昨今は外国資本も多く入っているので、国内に閉じたマーケットだけを考えるわけにはいきません。

■民間の自主性に任せてうまくいった例はありますか。

最近のISPはセキュリティサービスなどが多彩になり、それらが安く提供されるようになってきました。ISPにとっては大変かもしれませんが、利用者にとっては高品質なサービスが安く受けられるということで喜ばしいことでしょう。こういったサービスが生まれてきた背景には、規制を緩和し、民間の自主性に任せたということがあります。

■今後必要な根本的なセキュリティ強化の仕掛けは何でしょうか。

従来のビジネスでは、情報システムは何かに代替可能なこともありましたが、今や情報システム自体がビジネスのコアになっています。そのため情報システムには、止まることなく、壊れることもなく、何かあっても元に戻せるといった要件が求められるようになってきました。

このようなシステムを作るには高コストになってしまいますが、そのコストを低減し、かつ信頼性の高いものをどのようにして作っていくかを考える必要があります。また、それと同時に利用者がコストの大きさをそのまま受けずにサービスを活用できるにはどうするべきかも考えなければなりません。

そのためには、旧来のITゼネコン型のシステム作りではなく、その方法論を変えていかなければなりません。これはビジネスチャンスのはずですが、他の国ではIT投資が伸びている中、日本はマイナスとなっていて、ITが変わっていくことをビジネスチャンスにできていません。

この問題を解決する万能薬はありません。企業や大学、社会全体として解決方法を考え続けなければならないのです。

【執筆：株式会社トライコーダ上野宣 ( http://www.tricorder.jp/ )】

【関連記事】
RSAカンファレンス2008特集
内閣官房情報セキュリティ補佐官山口英氏インタビュー(1)
https://www.netsecurity.ne.jp/3_11315.html

【関連リンク】
RSA Conference Japan 2008
http://www.cmptech.jp/rsaconference/