水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > WASForum Conference 2008: ライフネット生命保険「インターネットとセキュリティに関する企業の責任」

WASForum Conference 2008: ライフネット生命保険「インターネットとセキュリティに関する企業の責任」

2008年7月4日(金曜日)

WASForum Conference 2008: ライフネット生命保険「インターネットとセキュリティに関する企業の責任」

サウンドハウス中島社長のお話に続いて、今年5月に開業したネット生保、ライフネット生命保険 (www.lifenet-seimei.co.jp)の中川さんのお話。

やられた人の経験談ではなく、ネット生保を新しく起業した立場から、セキュリティと企業の責任、CSRなどについてお話されました。あまり論評することもないので、ひたすら箇条書きでメモしておきます。

ネットライフ生命と既存の生保について
  • 生保の約款は字が小さく、インクが薄く、紙が薄い
  • ライフネットではダウンロードできるようにしている
  • 普通の生命保険は、なんと契約しないと約款が見られない!
  • 日本の保険は人件費が多い。保険の申込書をかわりに書いてくれたりもするような? (本当はやってはいけない)
企業の責任(CSR)

企業には4つの責任があるというお話。

  • 経済的責任(義務) : 利益を上げる……配当金・給料・納税
  • 法的責任(義務)
  • 倫理的責任 : 社会から期待されていること。たとえば「機微情報は適切に扱ってくれるよね」という期待
  • 社会公権的責任 : 社会からの要望
  • ステークホルダーに対する説明責任がある。説明ができなければ社会に認めてもらえない、信頼を得られない企業は持続できない
  • 生命保険は持続がとても大事 (10年、30年の商品であるため)。そのため、厳しい審査がある。ライフネットは戦後初の独立生保
  • 情報セキュリティマネジメントは CSR への取り組みの一環として必要
  • 競争の激化: カカクコムで価格比較できる。こんな事は昔はなかった。
  • ビジネススピードが劇的に速くなり、チェックの時間も与えられなくなってきている
  • 付加価値が競争の源泉となる時代が来ている
  • 情報の価値が相対的に高まっている……ヒト・モノ・カネにプラスして情報、「情報」が第4の経営資源となる
  • 企業は社会のネットワークの一部であり、社会全体の利益に貢献している
  • 信用力が重要。その信用力はセキュリティ管理能力によって左右される
  • 脆弱性 = 情報管理メカニズムの欠如。たとえば、トップが「売上げが低いから」とセキュリティ予算を削るのは、企業経営体質の脆弱性
対応
  • 責任体制の明確化
  • セキュリティガバナンスの確立
責任の明確化
  • 情報セキュリティ課題に対応する責任……経営者
  • 情報資産別に管理する責任……部門ごと
  • 各組織別に業務上果たすべきセキュリティ上の責任……個々の従業員
  • 人事規則に罰則までないと責任が明確化されたとは言えない
問題を起こさない対策
  • 守るためのプロセスを作る
  • プロセスが守られているか監査する
  • 監査の結果を説明できるアカウンタビリティ
リスク分析手法の確立
  • セキュリティ投資と事業の採算性
  • セキュリティ投資は競争優位を勝ち取るため。セキュリティ投資は戦略投資
  • セキュリティの対策は、リスクを顕在化させないための対策。しかし、リスクが顕在化しないと投資効果が分からない
  • 受容可能なリスクから対策を検討
  • リスクの分析、リスクを特定・評価、受容可能リスクの線引き
セキュリティ投資に意味はあるのか?
  • 東京大学田中氏による統計的関連
  • 目に見えない資産として評価される可能性がある
まとめ?
情報管理の仕組みの整備
  • 能力と意思を分けて考える必要がある
  • 能力 : 悪意による破壊が可能、ミスによる破壊が起こりえる
  • 意図 : 社員はまじめだからやらないはずだ
  • 意図は些細なことで変わる。解雇、不本意な転勤など。意図が変わった瞬間にその能力は脅威に変わる
情報管理の仕組みの整備
  • 管理責任の所在を明確に
  • オーナーを明確にする
  • システム部門はオーナーの要件を満たすようにする
  • オーナーとプロバイダを一にせず、分離する
  • 経営者は責任分担に漏れがないことを確認する
  • セキュリティを通じて企業の理念を実現する
  • セキュリティレベル向上による企業価値の向上

……最後に、ライフネット生命の宣伝など。この会場に来ているようなネットリテラシの高い人は、クルマで言えば給油口を自分で開けて給油できる人。そういう人向けに廉価(れんか)でシンプルなサービスを提供しているのでよろしくお願いします、というようなお話をされていました。

感想

私の感想ですが。

印象に残ったのは、「人事規則に罰則までないと責任が明確化されたとは言えない」というお話。それから、リスク分析と線引きの話でしょうか。

あとは、後のパネルディスカッションで投資額のお話が出たりしています。

このあと、パネルディスカッションに続きます。

関連する話題: セキュリティ / WASForum Conference / CSR

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト