岩波新書、2008年8月20日、740円+消費税
著者:佐々木良一東京電機大学教授
社会の中に情報システムや情報技術が浸透して来るにつれ、その影響力も増し増し、依存度も大きくなっている。これまで「情報セキュリティ」と概括的に呼んできた内容も、それとともに大きく変化してきた。著者は、新たに「ITリスク」という考え方を提唱して、より広い視野から情報システムと社会との関係を構築しようとしている。情報システムに係わる多くの人に考えていただきたい問題である。
現時点で見渡してみると、情報システムがトラブルを起こす際には、故意、過失を含めて人為的な原因と天災や大規模な障害、他の分野で起きた事柄が原因で引き起こされたものとがある。情報システムの初期の時代には、前者の人間系の原因だけが問題にされて「情報セキュリティ」という言葉が使われてきた。しかし、情報システムに係わるトラブルが単に企業の中の影響に止まらず、航空機の発券システムの障害が大規模な航空便の運行休止をもたらし、河川を運航する船が電力線を切断する事故によって証券取引が休止するなど、情報システムの停止は社会活動全体に大きな打撃を与えるようになっている。
また、情報システムから個人情報や企業機密情報がインターネットに流出して損害賠償を行うなど、ミスの原因は小さくても企業に与える損害額は巨額に上るというように、単にシステムを防御するというだけでなく、そこに発生する損失との関係で防御のための優先順位をつけ、対応策の投資を効果的に行わなければいけないようになってきた。これは従来考えてきた「セキュリティ」の範囲を越えた問題で、正しく「リスク」として議論するのが適当である。リスクの大きなものには優先順位を高めて対策を練り、相応の大きな投資もしてゆかなければならないだろう。
「リスク」については、すでに経済的に多様な分析がされているが、「ITリスク」という新しいジャンルなので、この分野特有の性格を加えながら、新しい筋道を整理してゆく必要がある。基本的には、リスクは「発生した場合の損害の大きさ」に「発生確率」を掛けた乗算ではじき出されるが、IT分野の場合は歴史が浅いので、損害の大きさの推定と発生悪率を推定の双方で参照すべき経験数値が少ない。また、技術革新も激しいので、絶えず、対応策も進展してゆく。そうした難しさもあるが、「リスク」ととらえることができただけでも大きな足がかりができたといえる。
新書版なので肩肘を張らずに読ませる構成となっている。一読をお薦めしたい。