稟議書が書きにくい情報漏えい対策とデータバックアップ
　企業の情報システム担当者からよく耳にする話として「情報漏えい対策やデータバックアップのための投資は、費用対効果が見えにくいために、稟議書が書きにくい」というものがあります。
　実際に、こうした投資案件は売上増や業務効率アップにつながる訳でもなく、保険と同じような判断が下されることが多いようです。保険であれば、掛け金は安い方が良いという発想になりがちで、情報漏えい対策やバックアップのための投資はできるだけ安価にすませようとする傾向があります。
　10年前であれば、確かにこのような発想で良かったのかもしれません。ところが現在では、個人情報の漏えいは社会問題化しています。また、ストレージ障害によるデータ喪失は、社内情報だけであれば業務の復旧時間だけを気にしていれば良かったのですが、社外に向けたサービスに関する情報を失ってしまえば、「本当に消えただけなのか？流出しているのではないか？」などと疑われることになります。

顧客からの信頼を失う恐ろしさ
　個人情報の流出については、非常にタチの悪い問題です。なぜなら、詐欺的な犯罪に利用される可能性が非常に高いからです。情報を流出させてしまった企業名は、いったんは人の頭から忘れられるかもしれません。ところが現代では、流出した情報はインターネット上のどこかのコンピュータが覚え続けています。いったん流出した情報は戻ってきません。
　また、バックアップの無いストレージが障害を起こすことによって喪失してしまったデータは戻せません。情報の流出が無かったことを証明することも非常に困難です。
　いずれにせよ情報漏えい対策やデータバックアップを疎かにすることは、企業にとって「一発ノックアウト」になるのです。

情報漏えい対策とデータバックアップの必要性を理解してもらうために
　情報漏えい対策やデータバックアップは、様々な技術や製品が提供されているにも関わらず、特に中小企業では導入が進んでいません。やはり導入コストが高価なことがネックになっているようです。しかし導入コストが高いのは、組織内情報すべてに対策しようとするからです。法的な規制を除くと、本当に対策すべき情報は限られているのが普通です。
その判断基準になるのは、
● 情報漏えいに対する顧客の視点
● 事業継続の視点
の二つです。この組み合わせによって、どの程度の情報漏えい対策やバックアップが必要かを判断することができます。
　漏えいしても顧客に被害がなく事業継続が可能なデータであれば、オペレーティングシステムの標準的な機能だけを使って対策できます。その逆であれば、厳密な情報漏えい対策や、記憶装置への更新内容をリアルタイムにキャプチャしておく、CDP (Continuous Data Protection)のようなバックアップ方式が必要になります。
　どのような情報が漏えいしたり、喪失すると一発アウトになるのか？それを明確にすることから対策は始まります。そして対象を絞り、最もローコストな方法を検討しましょう。これを行わないままに、情報漏えい対策やデータバックアップの必要性を訴えても理解は得られないでしょう。