ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
デジタルトラストの構築に向けたPwCのアクション:ニューノーマルにおけるビジネス変化とそれを支えるセキュリティ組織とは(リクルート)
2021-05-17
新型コロナウイルス感染症(COVID-19)の拡大による人々の生活様式の変化は、消費者に密接に関連する多くの産業に、業態の転換を迫りました。小売店、飲食店、美容院……。こうした業種を支援する株式会社リクルートでは、どのようなセキュリティ対策が講じられているのか。同社で情報セキュリティを統括する鴨志田 昭輝氏に、ニューノーマルにおけるビジネスの変化とセキュリティ対策の取り組み、さらには経営層にセキュリティ対策の重要性を説明する上でのポイントを伺いました。(本文敬称略)
*本対談はPwC’s Digital Trust Forum 2021(2021年1月開催)におけるセッションの内容を再編集したものです。本記事内の情報は収録当時のものです。
対談者
株式会社リクルート
セキュリティ統括室 室長
鴨志田 昭輝氏
PwCコンサルティング合同会社 ディレクター
村上 純一
(左から)村上 純一、鴨志田 昭輝氏
COVID-19が加速させたビジネス変革とセキュリティ体制
村上:
COVID-19の感染拡大は、多くの企業の働き方とビジネスに大きな変化をもたらしました。リクルートにおいては、そのインパクトはどれほどのものだったのでしょうか。
鴨志田:
まず、自社の働き方については、リモートワークの割合が増加しました。コロナ禍以前からリモートワークの制度もVDI(Virtual Desktop Infrastructure)も構築済みだったため、セキュリティ統括室としては比較的スムーズに対応できたと思います。
村上:
リクルートのビジネスへの影響はどうだったのでしょう。
鴨志田:
消費者の生活様式が変化したことで、やはり事業への影響は少なくありませんでした。ただ、今回の変化はリクルートの事業にとって、大きな機会にもなり得ると思っています。
コロナ禍で、小売店や飲食店、美容院など多くのクライアントが、従来の対面でのサービス提供を制限されました。私たちはコロナ禍以前より、店舗向けの非接触決済サービスや、密を避けるためのオンライン順番受付管理アプリなどの開発を行っていたのですが、これらの取り組みが功を奏することになりました。今後もこうした取り組みを通じて、クライアントのビジネスに貢献し続けたいと考えています。
村上:
リクルート自体も、時代に応じてサービスの形態を変えていることがよく分かりました。クライアントに提供するそうしたシステムにおいては、個人情報を含む多くのデータを取り扱うことになります。リクルートではどのような体制でシステム開発を進め、セキュリティを担保しているのでしょうか。
鴨志田:
私が所属する株式会社リクルートを含むリクルートグループは複数の企業からなっており、それぞれがサービスを提供しています。サービスの数は合計で数百になりますが、セキュリティ部門で方針検討から実装まで一気通貫して担当するという体制は取っていません。親会社であるリクルートのセキュリティ部門だけで数百ものサービスのセキュリティ対策を行うことは、リソースの観点からも現実的ではないからです。
現在は各事業会社の関連部門とリクルートのセキュリティ部門が連携して、対策を強化する方針を採用しています。近年、セキュリティに関わる組織編成とセキュリティポリシーの改編を行いました。セキュリティに関わる組織編成から説明すると、事業部門との接点となる「セキュリティ推進組織」を設置しました。これは、組織ごとのセキュリティ部門と開発部門を兼務する組織です。システムの担当者と密に連携しながら業務に当たり、開発の初期段階からセキュリティを組み込むことを念頭に置いています。一方、セキュリティポリシーの改編では、雑誌ビジネスが中心だった時代から増改築を繰り返して肥大化してきたセキュリティポリシーを、系統立てて見直しました。
株式会社リクルート セキュリティ統括室 室長 鴨志田 昭輝氏
「Why」「What」「How」でセキュリティポリシーを整理する
村上:
セキュリティポリシーの改編について詳しく聞かせてください。旧来の雑誌ビジネスが中心だった時代に作成されたセキュリティポリシーに改訂を積み重ねてきたものを、デジタル社会に順応したものにするべく、一から見直されたのですね。
鴨志田:
はい。内容が、昨今の技術動向やインターネットを中心にしたビジネスに合わなくなっていたのです。オンプレミス環境を前提にしたポリシーは、クラウド環境のポリシーとして機能しませんよね。それと同じです。セキュリティポリシーを見直す上では、情報処理推進機構(IPA)が指南する「情報セキュリティマネジメントとPDCAサイクル」*1を参考にしました。情報セキュリティポリシーの文書構成を「基本方針=Why」「対策基準=What」「実施手順=How」の3階層に整理したのですが、数年かかりました。
村上:
根本からの見直しには時間を要します。整理の途中で特に苦労されたことは何でしょうか。
鴨志田:
セキュリティポリシーの構造の整理ですね。当初のポリシーは「どのようなことをするか」という「How」の羅列だけでしたが、これを思想から方針、目的・要求まで一線でつなげたのです。これにより、数百あるサービスに対して、同一のセキュリティポリシーを適用できるようになりました。
ただし、セキュリティポリシーの見直しは一度の改編だけでは終わりません。放っておくと、最新の事象にすぐに対応できなくなります。ですから、現在はHowに当たる実施手順は月次で見直し、改訂を続けています。
「1人CSIRT」から学んだセキュリティ部門の在り方
村上:
鴨志田さんは、セキュリティ対策の第一線で20年以上にわたりご活躍されています。そのキャリアの中でも私が特に印象深く感じたのが、株式会社リクルートテクノロジーズにおける「1人CSIRT」の立ち上げです。
鴨志田:
私にとっても非常に印象深い出来事でした。2014年にリクルートテクノロジーズに入社し、同時にCSIRTを立ち上げたのです。まさか、入社したばかりの社員がCSIRTをゼロから立ち上げることになるとは思っていませんでした……。ただ、当時は他にメンバーがおらず、1人でセキュリティインシデント対策に乗り出すことになったのです。
ゴーサインが出てから注力したのは、「短期間で実績を作ること」です。自分から進んで脆弱性やヒヤリハットを見つけては事業部門に説明し、その解決を支援しました。こうしたことの積み重ねで、現場からは「CSIRTがいるとこんなに楽になる」と認識されるようになりました。そうして、徐々にCSIRTメンバーも増やしていったのです。
村上:
セキュリティ部門がガバナンスを利かせようとすると、事業部門から「ビジネス推進の足かせ」として、反感を買うという話をよく耳にします。現場と連携するにあたり、特に心掛けられたことは何でしょう。
鴨志田:
「強制力をもって言うことを聞かせる」というアプローチは取らないことです。私自身、過去のキャリアで、セキュリティ部門と現場の関係が悪化していく姿を数多く見てきました。でも「セキュリティ対策をしっかりやりましょう」と言って反対する人はいないのです。現場も経営層も、基本的には賛成なのです。ただし、具体的な仕様の話になると予算や人的リソース、利便性などの問題があり、折り合いがつかなくなってしまうのです。
こうした総論と各論のギャップで苦しむのはセキュリティ部門です。強権的なセキュリティ部門ほど、このギャップは大きくなります。だからこそ、現場に寄り添って支えるCSIRTであることが重要なのであり、チームメンバーにもそうしたマインドであることを求めてきました。
PwCコンサルティング合同会社 ディレクター 村上 純一
株式会社リクルート セキュリティ統括室 室長 鴨志田 昭輝氏
経営層との対話で重要なのは「課題のリスト化」と「優先順位付け」
村上:
鴨志田さんはセキュリティ統括室の室長として、グループ各社の経営層にセキュリティ対策の取り組みや、その重要性について説明する機会が多いかと思います。経営層に対策の意義を理解してもらえず、結果的にセキュリティを十分に担保できないといった声を耳にする機会は少なくありません。コミュニケーションをとる上で気を付けていることを教えてください。
鴨志田:
経営層に活動の意義を理解してもらうために実施しているのが、セキュリティの課題を手当たり次第に解決するのではなく、まずはリスト化し、それに対して「何を優先して」「何を実施したのか」を明確化することです。セキュリティ対策としてやるべきことはたくさんありますから、「今、すべきことは何か」「今、何を『しない』のか」という優先順位付けが重要です。それゆえ、最初に課題をリスト化して、それに優先順位を付けて対処計画を立てるのです。
これにより、例えば経営層から「他社でセキュリティインシデントが発生した。私たちはいつ対策するのか」と聞かれた場合、「その課題はリストの○番目です。対応予定時期は○カ月後です」と回答できます。経営層の中でセキュリティ対策の順序が明確になり、コンセンサスが取りやすくなるのです。
村上:
対策に順位付けをする上では、最新のトレンドを把握し、順位を適宜変更するといった対応も必要です。普段、どのように情報を収集されていますか。
鴨志田:
自分の情報網を持つことを心掛けています。私の場合、情報セキュリティ対策活動の向上に取り組む一般社団法人の会合に参加したり、同業者と勉強会を行ったりして、人脈を広げることに努めています。こうした場所では「公にはなっていないが、今後注視すべきセキュリティのトレンド情報」が手に入ります。また、SNSでセキュリティの第一人者をフォローし、最新の動向を把握するようにもしています。
村上:
セキュリティのプロフェッショナルであり続けるには、たゆまぬ自己研さんが欠かせませんね。最後に、今後の注力領域について教えてください。
鴨志田:
セキュリティ対策はやるべきことが多いので、各社で内容を最適化することが重要です。人的リソースは限られていますから、事業会社ごとに緩急をつけた支援を行っていきたいと考えています。
また、端末におけるプロテクション強化やゼロトラストアプローチも検討する予定です。事業が拡大すれば、それだけ新たな脆弱性を抱えることになります。発生し得るリスクに迅速に対応できる体制を構築する必要があります。そのためには、人材採用も大きなテーマです。現在、どの企業でもセキュリティ人材は不足しています。将来的には、数百あるサービスのガバナンスを策定することも視野に入ってくるかもしれません。その際に力を発揮してくれる「挑戦者」を探すことも、私のミッションです。
村上:
セキュリティ人材が限られる中で、効率的なCSIRTの運用は喫緊の課題です。PwCも、CSIRTの高度化を支援していますので、そうした取り組みにさらに注力してまいります。本日は貴重なお話をしていただき、ありがとうございました。
特別対談:デジタルトラストの構築に向けたPwCのアクション
20 results
Loading...
デジタルアイデンティティを支える技術―ソリューション導入の失敗事例と成功事例―(SailPoint/Okta/CyberArk)
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
プライバシーガバナンス最前線―データ利活用を促進していくために、いま企業に求められていること―(リクルート/TMI)
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
デジタルプラットフォーム取引透明化法の「モニタリング・レビュー」にみる、新しい時代のトラストとは(経済産業省)
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
Loading...
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
欧州NIS2指令に向けた日本企業の備え
欧州NIS2指令の概要から適用条件、求められる対応、違反時のリスクまでを体系的に解説し、日本企業が段階的に取り組むべき具体的な対応戦略をわかりやすく整理します。
欧州サイバーレジリエンス法概説――法規発効の経緯・目的と全要件適用までの動き
2024年12月に発効した「欧州サイバーレジリエンス法(CRA)」について、制定の背景や要件、スケジュール、罰則などを整理し、経営層も巻き込んだ実効的な対応のポイントを解説します。
中国「個人情報保護コンプライアンス監査管理弁法」の概説 個人情報保護コンプライアンス監査で注意すべき点
2025年5月1日に施行された中国の「個人情報保護コンプライアンス監査管理弁法」およびその別紙「個人情報保護コンプライアンス監査ガイドライン」について解説します。
欧州・日本の個人情報保護法規制の動向から紐解く、日本企業に求められるプライバシーガバナンスとは
西村あさひ法律事務所・外国法共同事業の石川智也氏と個人情報保護委員会の小川久仁子氏をお招きし、グローバルでの規制動向を踏まえ、日本企業が個人情報を適切に取り扱うためのリスク管理のあり方、求められるプライバシーガバナンスについて伺いました。
Loading...
セミナー
1 result
Loading...
