情報漏えい対策
目次
情報漏えい対策への取り組み方
多くの情報を取り扱う企業にとって情報漏えい対策は欠かせないものです。
本記事では、企業として情報漏えい対策にどう取り組んでいくべきかをご紹介します。
機密情報などが漏洩した場合に考えられる脅威
もし機密情報などが漏洩してしまった場合、どんな脅威が考えられるのでしょうか。
情報が漏洩してしまった場合に考えられる脅威について見ていきましょう。
損害賠償などによる金銭的マイナス
機密情報や個人情報などが漏洩してしまうと、企業は膨大な損失を被ることは間違いないでしょう。被害者に対し、慰謝料や損害賠償などを支払わなくてはいけません。規模によって支払い金額は異なりますが、数千億円にのぼるケースもあります。
さらに、事故対応やサイト・サーバーの復旧にも数百万円単位の費用がかかります。そして事故対応に追われている間は本来やるべき業務が滞ってしまうため、機会損失にもつながります。
信用の低下
一度でも情報が漏洩してしまうと、取引先や企業からの信用が低下してしまいます。損害賠償や慰謝料などを支払ったとしても、失った信用を回復するのは容易ではありません。
顧客離れや取引先から敬遠されることによる業績悪化のリスクも考えられます。
権利的なマイナス
漏洩した情報に基づいて他社が特許などを取得した場合、その技術を自社が自由に利用できるようにするには、法的な手段を取らなくてはいけません。
漏洩先の特許を無効化するには、「特許無効審判請求」「特許権取戻請求」などが必要です。
※監修者コメント
情報が漏洩してしまうと法令等(個人情報保護法(個人情報の保護に関する法律)、マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)、各種条例)に触れている場合は官公庁からの「勧告・命令・罰則」が課せられることもあります。また、GDPR(General Data Protection Regulation:一般データ保護規則)においては、EU加盟国及び欧州経済領域(EEA)に属する個人情報の漏洩した場合、最大2,000万ユーロまたは全世界年間売上高の4%の制裁金が課せられます。
また、従業者の士気低下、人材流失にもつながります。
情報漏えいにつながる要因
ではどんな要因が情報漏えいにつながってしまうのでしょうか。ここでは情報漏えいにつながる要因について一つずつご紹介します。
社用パソコンの持ち出し
外出や出張など、社外にパソコンを持ち出すこともあります。しかし、パソコンに入ったデータであっても、紛失・盗難の危険性があります。
JNSA(特定非営利活動法人日本ネットワークセキュリティ協会)の調査「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏えいの原因のうち「紛失・置き忘れ(26.2%)」、「盗難(3.8%)」となっています。これだけで全体の約3割を占めており、パソコンのような情報資産を持ち出すことがいかに危険なことかが分かります。
また、パソコンだけでなくタブレットやスマホにも多くの情報が入っているので、取り扱いには十分な注意が必要です。
資料の放置
紙資料やパソコンなどを他人が目に入る情報で放置することも原因の一つです。
例えば、以下のようなケースが考えられます。
- パスワードによるロックがされていないパソコンを起動状態のまま席を離れる
- プリンタに出力した書類をすぐに取りに行かない
- 大切な書類を放置したまま席を離れる
- 大事な書類が格納されたキャビネットなどに鍵がついていない
また、許可を得て社外に書類などを持ち出す場合も注意が必要です。
カバンの置き忘れや盗難によって情報が漏洩する危険性もあります。
社員のパソコンのセキュリティ対策ができていない
現代の仕事にパソコンは必須なため、十分なセキュリティ対策を施さなくてはいけません。しかし中にはきちんとした対策を施していないパソコンもあり、それが外部からのサイバー攻撃の標的となってしまいます。
インターネット経由での不正アクセスは継続的に行われており、手法も年々進化してしまいます。一度被害に遭うと、多くの情報が盗まれてしまうので注意が必要です。
業務上の情報を安易に話してしまう
仕事帰りに飲食店などに行き、仕事の話をする方も多いのではないでしょうか。
しかし、業務上知りえた情報は「決して他人に公言してはいけない」というのが社会人としてのモラルです。仲間内で話をしているつもりでも、誰に聞かれているか分かりません。
もし悪意のある人間が聞いていた場合、大きな情報漏えいに発展する可能性があります。
※監修者コメント
机上は常に整理整頓を心がけ、何がどこにあるか、何が無くなったかが一目で分かるようにしましょう。
また、社外であっても建物内での移動(例えばエレベータ内)などは仕事中という意識もあり、仕事の話をしてしまいがちです。同じ建物に別の会社が入っている場合など、より気を付ける必要があります。
企業がすぐに実施すべき情報漏えい対策
情報漏えいを防ぐためには、社員全員が高いセキュリティ意識を持ち、アナログとデジタル両面からセキュリティ対策を行うことが重要です。
例えば以下のような方法があります。
情報を持ち出さない
パソコンや紙資料などを安易に持ち出さないことが重要です。またノートパソコンやUSBメモリなどを許可なく自宅に持ち帰る行為にも注意しましょう。
持ち出す場合は必ず会社から持ち出しの許可を得てください。許可を得た場合でも、USBメモリを管理下にないパソコンで利用したり、業務以外の理由で社用パソコンを利用したりするのは避けましょう。
ただしどんなに気をつけていても紛失や盗難のリスクをゼロにはできません。万が一のことを考え、データを暗号化しておくのが効果的です。
情報資産を放置しない
資料やパソコンを他人がすぐに見られる状態で放置しないようにします。業務途中で離席する場合は、パスワードロックができるスクリーンセーバーを動作するようにします。
また紙資料も机の上に放置するのではなく、鍵のかかる引き出しに入れます。
強固なセキュリティ対策をしたい※監修者コメント
USBメモリの利用は暗号化可能なUSBメモリに限定します。
パソコンは離籍時にはロックを掛けることを義務付けするだけでなく、10分以内で起動するようにしましょう。パスワードは、大小英字・数字・記号混在の8文字以上とし規則性のある文字列や単語は使わず、不規則なものを推奨します。
もし情報漏えいが起こったらすべきこと
万が一情報漏えいが起こってしまった場合、まずは上司に報告をします。
そして自社だけでなく、最終的な被害先、顧客、取引先、株主、従業員など被害を受けるであろう関係者の情報を整理します。その上で、企業は状況を整理して法的措置など自社の情報を守るための方法を採る必要があります。
※監修者コメント
情報漏えいが起こってしまった場合、影響を最低限に留めるため可能な限り早く対応できるよう、あらかじめ漏洩状況を特定するための手順、および特定した漏洩状況に対応する手順をルール化しましょう。守るべき情報は何であるのかを洗い出し、内容、利用目的、保管場所、保管方法、利用権限者、管理責任者などを特定しましょう。
現状を分析して何重にも対策を採ろう
「自社は大丈夫だろう」と思っていても、思わぬところに情報漏えいの危険は潜んでいます。効果的に対策を行うには、現在対策できているリスクと、対策が不十分なリスクを洗い出す必要があります。まず自社にどのようなリスクがあるのか把握し、効果的な対策を練るようにしましょう。
【関連記事】
- セキュリティ管理統合システム「MCore」
https://www.sei-info.co.jp/mcore/ - 強固なセキュリティ対策をしたい
https://www.sei-info.co.jp/mcore/column/strong-security/ - マルウェア対策
https://www.sei-info.co.jp/mcore/column/malware/
https://www.ipa.go.jp/security/antivirus/documents/05_roei.pdf 監修:オフィス・メイプル 代表 上原正(IT経営コンサルタント)
IT企業勤務を経て、2009年9月オフィス・メイプルを設立。商店街、小規模事業者、中小企業のIT活用を確実に確立する伴走支援を心がけ、わかりやすいをモットーにIT活用経営、まちづくり活性化を実施。東京都商店街振興組合連合会青年部、イノベーション融合学会、内部統制評価機構等、役員を歴任。ITコーディネータ、Pマーク審査員。