水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > WASForum Conference 2008: ライフネット生命保険「インターネットとセキュリティに関する企業の責任」

WASForum Conference 2008: ライフネット生命保険「インターネットとセキュリティに関する企業の責任」

2008年7月4日(金曜日)

WASForum Conference 2008: ライフネット生命保険「インターネットとセキュリティに関する企業の責任」

サウンドハウス中島社長のお話に続いて、今年5月に開業したネット生保、ライフネット生命保険 (www.lifenet-seimei.co.jp)の中川さんのお話。

やられた人の経験談ではなく、ネット生保を新しく起業した立場から、セキュリティと企業の責任、CSRなどについてお話されました。あまり論評することもないので、ひたすら箇条書きでメモしておきます。

ネットライフ生命と既存の生保について
  • 生保の約款は字が小さく、インクが薄く、紙が薄い
  • ライフネットではダウンロードできるようにしている
  • 普通の生命保険は、なんと契約しないと約款が見られない!
  • 日本の保険は人件費が多い。保険の申込書をかわりに書いてくれたりもするような? (本当はやってはいけない)
企業の責任(CSR)

企業には4つの責任があるというお話。

  • 経済的責任(義務) : 利益を上げる……配当金・給料・納税
  • 法的責任(義務)
  • 倫理的責任 : 社会から期待されていること。たとえば「機微情報は適切に扱ってくれるよね」という期待
  • 社会公権的責任 : 社会からの要望
  • ステークホルダーに対する説明責任がある。説明ができなければ社会に認めてもらえない、信頼を得られない企業は持続できない
  • 生命保険は持続がとても大事 (10年、30年の商品であるため)。そのため、厳しい審査がある。ライフネットは戦後初の独立生保
  • 情報セキュリティマネジメントは CSR への取り組みの一環として必要
  • 競争の激化: カカクコムで価格比較できる。こんな事は昔はなかった。
  • ビジネススピードが劇的に速くなり、チェックの時間も与えられなくなってきている
  • 付加価値が競争の源泉となる時代が来ている
  • 情報の価値が相対的に高まっている……ヒト・モノ・カネにプラスして情報、「情報」が第4の経営資源となる
  • 企業は社会のネットワークの一部であり、社会全体の利益に貢献している
  • 信用力が重要。その信用力はセキュリティ管理能力によって左右される
  • 脆弱性 = 情報管理メカニズムの欠如。たとえば、トップが「売上げが低いから」とセキュリティ予算を削るのは、企業経営体質の脆弱性
対応
  • 責任体制の明確化
  • セキュリティガバナンスの確立
責任の明確化
  • 情報セキュリティ課題に対応する責任……経営者
  • 情報資産別に管理する責任……部門ごと
  • 各組織別に業務上果たすべきセキュリティ上の責任……個々の従業員
  • 人事規則に罰則までないと責任が明確化されたとは言えない
問題を起こさない対策
  • 守るためのプロセスを作る
  • プロセスが守られているか監査する
  • 監査の結果を説明できるアカウンタビリティ
リスク分析手法の確立
  • セキュリティ投資と事業の採算性
  • セキュリティ投資は競争優位を勝ち取るため。セキュリティ投資は戦略投資
  • セキュリティの対策は、リスクを顕在化させないための対策。しかし、リスクが顕在化しないと投資効果が分からない
  • 受容可能なリスクから対策を検討
  • リスクの分析、リスクを特定・評価、受容可能リスクの線引き
セキュリティ投資に意味はあるのか?
  • 東京大学田中氏による統計的関連
  • 目に見えない資産として評価される可能性がある
まとめ?
情報管理の仕組みの整備
  • 能力と意思を分けて考える必要がある
  • 能力 : 悪意による破壊が可能、ミスによる破壊が起こりえる
  • 意図 : 社員はまじめだからやらないはずだ
  • 意図は些細なことで変わる。解雇、不本意な転勤など。意図が変わった瞬間にその能力は脅威に変わる
情報管理の仕組みの整備
  • 管理責任の所在を明確に
  • オーナーを明確にする
  • システム部門はオーナーの要件を満たすようにする
  • オーナーとプロバイダを一にせず、分離する
  • 経営者は責任分担に漏れがないことを確認する
  • セキュリティを通じて企業の理念を実現する
  • セキュリティレベル向上による企業価値の向上

……最後に、ライフネット生命の宣伝など。この会場に来ているようなネットリテラシの高い人は、クルマで言えば給油口を自分で開けて給油できる人。そういう人向けに廉価(れんか)でシンプルなサービスを提供しているのでよろしくお願いします、というようなお話をされていました。

感想

私の感想ですが。

印象に残ったのは、「人事規則に罰則までないと責任が明確化されたとは言えない」というお話。それから、リスク分析と線引きの話でしょうか。

あとは、後のパネルディスカッションで投資額のお話が出たりしています。

このあと、パネルディスカッションに続きます。

関連する話題: セキュリティ / WASForum Conference / CSR

最近の日記

関わった本など