情報漏えい事件が相変わらず頻繁に発生し、その多さには驚くばかりです。「自分たちだけは大丈夫」という楽観主義は、もはや通用しないでしょう。システムがネットワークにつながり、PCがモバイルとなって利便性が高まれば高まるほど、情報漏えいの潜在的リスクが拡大します。特に2009年は、医療や公共機関においてPCやUSBメモリなどの盗難・紛失が原因となる事件が相次ぎました。
日本ネットワークセキュリティ協会（JNSA）の「2008年 情報セキュリティインシデントに関する調査報告書」によると、2008年度の総漏えい人数は、723万人を超えました。100万人超の大規模な漏えい事件の減少により、2007年からは改善したとはいえ、依然大きな数字であることには間違いありません。
このような事件の原因として、紛失、管理ミス、誤操作などの人為的ミスに加え、盗難や意図的な流出などの悪意によるものも相当な割合を占めます。改めて情報管理意識の低さが浮き彫りとなりました。

「データ」は、「人」「設備」「テクノロジー」「アプリケーション」を駆使して行われる企業活動の根幹となる資産です。個人情報や経営情報、生産管理に関わる購買や工程に関わる情報、財務や経理に関する情報、新製品に関わる設計情報や研究情報などであり、このデータを上位のIT資産が利用することで、企業活動を機能させることになります。
先に示した法律やガイドライン、認証基準は、このIT資産全般について適用されるものです。当然、これらすべてに対して適切な対策を施さなくてはならなりませんが、現実には100％完全なセキュリティ対策というものは存在しません。またいくら管理を徹底しても人的ミスを避けることは困難ですし、悪意の第三者による意図的な流出は日々進化する技術を悪用して、ますます巧妙なものとなっています。万が一の事件や事故を完全に避けることは、現実的には不可能なのです。
そこでIT資産の根幹であるデータ保護を優先させることが、IT統制のための現実的な解決策となるのではないでしょうか。もちろん、ほかの階層についての対策をおろそかにしてデータを保護するだけで済まされるものではありません。

法令や基準から考える情報漏えい対策の“勘所” (2/2) - ITmedia エンタープライズ

まず根幹を優先して対策し、周辺対策を現実に即して充実していけば、万が一の事態に対しても、最悪の事態を回避できるでしょう。根幹対策が徹底されればデータの流用が困難となり、悪意ある行為をけん制するという効果も期待されます。

法令や基準から考える情報漏えい対策の“勘所” (2/2) - ITmedia エンタープライズ