情報漏洩対策が企業の重要な課題とされてからずいぶん時間がたつ。事件とそれへの対策が繰り返された結果、大手企業ならどこも、かなり高度な対策を講じていると思う。
たとえば、社内で文書による情報共有を行う際には、サーバー上にセキュアな掲載場所を設けて文書を登録し、アクセス先を限定して管理することが一般的になっている。ただし、それはある程度完成した資料の話であって、作成途上で、関係者調整中の文書の扱いはむずかしい。メールに添付して送信してしまうと、誤って社外に転送してしまうかもしれないし、送った先の人が適切に扱っているかどうかも把握できない。
筆者が出向している企業では、この問題を、「活文」というソフトウェアで解決している。利用者がメールにワードやエクセルの文書を添付しようとすると、まずこの活文が起動し、文書を閲覧先限定、閲覧期間限定の暗号化されたpdf形式に変換してくれるのだ。利用者側は、ただメールに文書を添付するだけ。受信した側も権限さえもっていれば普通に読むことができる。万一それが誤って社外に転送されてしまっても、暗号化されているので情報が漏洩することはない。社内でも、設定した期間経過後は閲覧不可となるので、たとえば暫定的な情報に基づく資料が、長期にわたり転々流通してしまうことを回避することができる。
文書の暗号化により安全に情報を共有することは、利用者がそれなりに手間をかければ可能なことなのだが、それをすべての社員の電子メールのシステムに最初から組み込み、透過的に、つまりだれもが特別な操作を意識しないで使わせているのが工夫だと思う。
情報セキュリティ対策というのは、どうしても手間のかかるものだ。社員は忙しいし必ずしも情報技術に詳しいとはかぎらない。複雑な操作手順を要請すると、なかにはサボる人が出てきてしまう。どんなに研修を繰り返しても、それを完全に防ぐことはむずかしい。だから、社員が特別な苦労をしないでもセキュリティが維持できるよう、あらかじめシステムのなかに作り込んでおくことは有効である。
日立は、こうしたシステムを販売しているから、社内システムをいわば実験場として作り込んでいる部分もある。一般に、優れたユーザーインターフェースをもつシステムを作り込むのはコストがかかるから、大勢のユーザーに使われるものでないと、投資を正当化しにくい。この点、グループ企業まで含めれば日立は30万人を超える社員を擁し、社内の各情報システムのユーザー数も万人単位である。社員には情報技術の専門家も少なくないが、一般人レベルの人も多い。そうした規模の大きさとユーザーの多様性が、社内システムにおけるきめ細やかなユーザーインターフェースを生み出しているのだと思う。
(週刊金融財政事情2012.3.5号掲載)
―PDF版は、こちらをご覧下さい。