ここ数年、情報セキュリティを取り巻く環境は急速に変化している。サイバー攻撃の高度化はもちろん、個人情報や機密情報の流出が企業の信用に直結する時代となり、「セキュリティは経営課題」という言葉が現実味を帯びてきた。こうした流れの中、従来は“柔軟性”を重視していた業界にも変化が求められている。
私が担当するあるクリエイティブ系のクライアント企業では、長らく“現場対応力”や“スピード”を優先し、社内の情報セキュリティ規定や端末管理については最低限の水準に留めてきた。請負型のプロジェクトが多く、クライアントごとの要件に都度対応するスタンスが、ある意味競争力にもなっていたことが理由の一つに挙げられる。
しかし、近年では受注元(発注者)側の情報セキュリティ意識も確実に高まっている。例えば、NDAの厳格化、データの持ち出し制限、パスワード付きzipファイルの廃止、クラウドサービス利用時のログ保存要件など、以前なら運用ルールで回避していたような点にも明文化された基準が求められるようになってきた。
さらに近いあたりでは、NISC(内閣サイバーセキュリティセンター)によるガイドライン改訂や、大企業の委託先における情報漏えい事故が報道されたことで、サプライチェーン全体のセキュリティ水準が問われるようになった。これは、元請企業だけでなく、制作や実装を担う中小企業の請負企業にとっても他人事ではない。
こうした背景を受け、社内の情報システム部や情報セキュリティ委員会では「ルールを厳しくすることは、制限を増やすことではなく、信頼を獲得する準備」だと位置づけ直し、段階的なセキュリティ強化の検討を始めている。例えば、端末へのEDR(高度な脅威検出)導入、クラウド上のアクセス権制御、従業員番号の義務化、多要素認証(MFA)の導入などが具体的な推進対象となっている。
特にMFAについては、ログインの手順が1ステップ増えることで「面倒だ」「作業が止まる」といった声も一部では聞かれる。クリエイティブ業務において“流れ”が重要視される現場ではこうした手間が小さなストレスとなりやすく、導入時には一定のハレーションが想定されるだろう。
しかし、セキュリティと創造性は時に対立するように見えるものの、クリエイティブの価値が外部との信頼関係の上に成り立つのであれば、その土台を守るころは、むしろ競争力の源泉となるはずだ。妥協というわけではないが、時には社内の理解を得ながら甘さともいえるこれまでの危険性を信頼と強みに変えていく必要がある。
2025年5月