株式会社デジタルパレットは，インターネットがテレビ，ラジオ，新聞，雑誌という従来メディアに続く第5のメディアとして注目される中，さまざまなデジタルコンテンツの企画や制作管理・運用など行うプロデューサー集団として，電通グループなどの出資により設立された会社である。設立は2001年4月で，現在，就業者数は100名弱である。

情報セキュリティに関しては，設立当初から大きなテーマとして経営戦略，実行計画策定の中で取り上げていた。
初年度の下期からプライバシーマーク付与に向けての活動を始めた。2002年度からはほぼ1年掛かりで，BS7799認証取得活動を行い，この3月に広告・マスコミ業界としては初めてBS7799を取得した。これらに取り組んだ経緯について紹介する。

初めにプライバシーマークから取り組んだ理由は，当社はセールスプロモーションの一貫として，Webを活用したキャンペーンで応募者の個人情報を取得する業務を日常的に行っており，個人情報をしっかりと保護しなければならないということからである。
次にBS7799では，情報資産全般のセキュリティについて取り組んだ。これは当社が制作するWebサイトは，新商品のサイトやそのプロモーションのサイトも多く，それらの情報は，発表前に決して漏らしてはいけないという強い要請があるためである。

そして，サイト制作を進めていく過程で，制作途上のコンテンツをテスト用のサーバにアップロードして校正したり，公開後には公開用のWebサーバを運営していく業務が発生するが，そこに載せる情報が間違っていてはいけないという正確性も要求される。また，テスト用のサーバについてはクライアント，広告代理店の営業など限られた人だけがアクセスできるように設定しておく必要があるし，公開用のサーバは不特定多数の利用者にアクセスされるが，その時に確実に快適に情報を閲覧していただけるように，サーバの容量管理も行われなければならない。

これらは，ISMSにおけるCIA（Confidentiality：機密性，Integrity：完全性，Availability可用性）をきっちりと押さえるというニーズと目的にかなったからである。
当社が設立後すぐにセキュリティを意識したきっかけとして，当時の新聞で報道された事故がある。それはセキュリティに関する事故で，ある企業が大量のウイルスメールを発信してしまったものである。企業が会員向けに商品紹介のメールを発信したが，作業を委託された業者において，メール送信の際の設定やメーリングリストの管理の仕方など，いくつかの不具合が重なったことによって事故につながったものである。

この事故を見て，当社ではどうだろうと見直すと，当時は現場担当者任せというのが実態であった。また，現場担当者も作業の多くはベンダー任せというのが実態で，ほとんどコントロールが効いていなかった。経営層は，このような状況を即時解消するとともに，セキュリティに関しての取り組みを強化していこうと考えた。
もう一つの要因は，この時は一度廃案にはなったが，当時，個人情報保護に関する法律案が制定される動きがあり，これが法制化されれば，個人情報に関して順法の観点で対応せざるを得ないという意識もあった。

また，実際の個人情報漏えい事故に対する損害賠償事例として京都宇治市のケースで，1人当たり15000円の損害賠償という地裁判決が出た時期でもあった。当社が当事者になったことを想定すると，仮に1000万件を超える応募の大型のWebキャンペーンで重複応募を差し引いて100万件のユニークな個人情報を取得していたとする。この場合，事故を起こした際の損害賠償金額は150億円にもなってしまう。経営リスク面から見ると，経営の根幹を揺るがすばかりか，社の存亡も危うくする。以上のような認識に加え，社会的信用の失墜の危機を回避するためにも，また電通からの要請もあり，セキュリティは経営として取り組むべき最重要課題だとの認識に至った。

「情報セキュリティの専門セクション」を設置

具体的な取り組みについては，まず「情報セキュリティの専門セクション」を新設した。2001年7月にITソリューション部を設け，セキュリティポリシーなどIT運用ルールの作成のほかに，情報システム部門としての役割，レンタルサーバビジネスの立ち上げ，個別受託のシステム開発案件のハンドリング，契約関連の支援などの役割を明確にした。

具体的な施策としては，最初に取り組んだのが，「外注先の管理の強化」である。当社は直接クライアントから受注するのではなく，広告代理店（電通）などをとおして受注するケースが多い。そして適宜，業務委託先に業務を発注する。このような中で，VAP（Value Added Partner）制度を設けた。これはきちんと契約関係を整備して責任の所在を明確にするとともに，当社の部門長クラスが委託先各社をきっちり管理していくものである。

次に，「レンタルサーバ・サービスの強化」を行った。制作したWebサイトを，そのままサーバで預かって運用していくというサービスであり，当社としてセキュリティを含めきちんとサービス品質の確立したサービスメニューを用意しようと考えた。「電通サイバープラットフォーム（DCP）」と呼んでいるが，最適なセットアップにより国内の一流のクライアントのサービスクオリティ要求にこたえ得る高品質・高セキュアなホスティング・サービス体制を構築することに取り組んだ。これを電通から事業移管を受ける形で用意した。最新のニーズに対応できるよう，利用するデータセンター，サービスメニューなど運用体制も逐次ブラッシュアップしつつ現在に至っている。

そして社内ルールの改訂とその徹底を行った。従来は現場の裁量に委ねていたレンタルサーバ案件はすべてITソリューション部をとおし，DCPサービスで受けることにした。
システム開発案件もデータベースが絡むWebサイトや，簡単なCGIからかなり複雑なものまで増えてきており，これもすべてITソリューション部をとおすことにした。
もう一つは，業者選別とアライアンスの深化である。つまり，選定基準を設けてシステム開発ベンダーは，その基準をクリアしたところにしか発注しないことにした。

認証取得の意義と取得方法

認証取得の意義については，以下の2点にあると認識している。
一つが，クライアントに対する印籠（いんろう）効果とでも言うべきものである。セキュリティについて取り組んでいることを具体的に説明をするのも大事だが，プライバシーマーク，BS7799をもっていることは第三者認証機関の客観的な審査を合格し認定を得ているということなので，何よりも有効と言えるだろう。
もう1点が，社内モラルアップ効果である。認証を取得したことにより，外からは認証をもっている企業と見られるわけだから，それにふさわしくないことはできないということで，社内モラルアップに有効と考える。

認証取得の方法は，当社の場合は大きく2つのやり方をした。プライバシーマーク取得については，設立後間もなくでほとんどノウハウもない状態だったこともあり，コンサルティングファームのパッケージサービスを利用した。コンサルティングフィーを払い，一通りこちらの状況も説明した上で，マニュアルやパッケージを納品してもらうといういうスタイルを取った。コンサルティング期間は6カ月程度掛かった。

BS7799認証取得はプライバシーマークの経験を積み，社内にコンプライアンスプログラムを確立できたこともあり，独自に取り組むことにした。活動中にBSの規格が1999年度版から2002年度版に変更になったという外部要因もあるのだが，期間は当初想定したよりもかなり延びてほぼ丸1年かかった。

実際これからの認証取得を考えた場合に，どちらを取得するか迷われると思うが，どちらが取得しやすいかといえば，どちらもそれなりに大変であるというのが実感である。
取得に当たっての社内体制については，本来なら専任の推進責任者がいるのが望ましい。しかし，当社はプライバシーマーク，BS7799とも専任の推進責任者を置くことはできなかった。プライバシーマークの場合はある程度兼任でも，コンサルティングファームのリーディングもあり6カ月ほど取得できたが，独自に取り組んだBS7799は，推進責任者が時間を割けないと，その間止まってしまうということも実際に発生した。

費用については単純にキャッシュアウトが発生するか，しないかの違いはあるが，キャッシュアウトが発生しなくても，それなりに社員の工数を使うことになるので，一概には判断できない。
私なりにポイントと考えるのは，取得後の運営である。これは，取得することがゴールではない。取得できれば終わりということではなく，取った後もISMSやコンプライアンスプログラムを社内に定着させ，維持改善をしていくということが発生するため，いずれにしても自前化できないと，取っただけでは意味がないということを強調したい。

情報セキュリティ対策のコンサルティングサービスも開始

取得後，どのように変わったかを少し紹介する。技術的なセキュリティでは，ネットワークインフラを再構築し自社のセキュリティレベルを再確認した。運用ルールの確立と教育では，セキュリティポリシーをきっちり制定して社内にアナウンスし，基本マニュアルの作成，内部監査の実行，手順書などを用意した教育をすることにより浸透を図った。

物理的なセキュリティとしては，IDの着用である。
オフィスの移転により，物理的セキュリティ境界線の設定として，非接触型のセキュリティカードにより入退室が管理できるシステムを導入できた。セキュリティカードを従業員が持っていて，これで入退室を行う。来訪者の入退室管理については，カードのない人間は入れないので，来訪者に「来訪者カード」に記入してもらい「ゲストカード（バッチ）」の着用をお願いしている。社員はIDカードを着用，正規の手続きを経て入室したゲストはバッチを着用しているので，いずれも付けてない人につては，気がついたら声を掛けることで管理を徹底する。

離席時の情報管理では，離席時にはデスクトップ上のノートパソコンを置きっぱなしにしない。ノートパソコンについてはポータビリティの高いものなので盗難の危険性も高いため，デスクトップ型のPCとは異なるルールにしているが，大事なのはノートパソコンそのものがなくなることではなく，パソコンの中に入っている重要なデータである。それが紛失する，あるいは漏えいすることが怖い，ということを認識させることが重要である。また，資産管理（バックアップ）を徹底している。普段から特に重要な情報はバックアップを取るだけではなくて，バックアップメディアを管理し，必要な時にはすぐに取り出せる状態にしておくことが大事である。

本年度からは，情報セキュリティ部を新設した。確立した個人情報保護のコンプライアンスプログラムやISMSの運営を主に担当するが，これまでの活動を通じて情報セキュリティに関するノウハウも多少なりとも蓄えられてきたこともあり，コンサルティングサービスを開始することにした。当面はワークフローやセキュリティリスクに関して当社に知見がある広告・マスコミ業界を主な対象とするが，最終的には，従来からの当社の事業ドメインと並び得る第2の事業ドメインに成長させていきたいと考えている。

株式会社デジタルパレット　情報セキュリティ部　部長　田沼　透
http://www.digitalpalette.co.jp/

関連記事：
印刷経営を揺るがすセキュリティの重要性
情報セキュリティマネジメントの重要性と日本の取り組み
情報セキュリティの国際動向と認証の実際について

（2003.6.23講演より収録　文責JAGAT　／　禁無断転載）

2003/09/03 00:00:00