1.情報漏えいが起きやすい業種
ひと言で情報漏えいと言っても、発生しやすい業種と比較的そうでない業種とがあります。発生しやすい業種には特徴があることがわかっており、日本ネットワークセキュリティ協会による調査結果によると、情報漏えいの発生件数が最も多いのは行政機関で、次いで教育・学習支援業、卸売・小売業、情報通信業となっています。
いずれも個人情報や重要なデータを多く扱う業種であり、扱う情報量と業種そのものの母数に応じて、発生件数が多くなっている状況にあります。そのため、こうした上位に名前が上がる業種に限らず、ある程度情報を取り扱うところであればどのような業種であっても気を付けなければなりません。管理の不行き届きによる場合もあれば、外部からの悪意ある攻撃を受ける場合もあり、漏えいの経路はさまざまです。重大な損失を被る前に、可能な限り対策を講じましょう。
2.社内に潜む情報漏えいの原因
では、情報漏えいの原因はどのようなところにあるのでしょうか。実は、原因の多くは社内によるもので占められているのです。日本ネットワークセキュリティ協会による個人情報漏えいインシデントの分析結果によると、漏えいの原因のなかで最も多かったのは誤操作で、次いで紛失・置忘れ、不正アクセス、管理ミスと続いています。ここからわかることは、外部からの不正アクセスよりも、明らかに社内の原因によって情報漏えいが起きてしまっている場合の方が多いということです。漏えい経路は、紙媒体、インターネット、電子メールが多数を占めているものの、そのうちでも紙媒体が4割近くを占めており圧倒的に多くなっています。このことからも、社内原因による漏えいが多いことは明らかです。いずれの場合においても、情報漏えいに対する認識の甘さが主な要因であり、改善の余地が十分にあったことがうかがえます。
3.防ぐのが難しい外部からの攻撃
情報漏えいの経路は先の通り社内の原因であることが多いですが、不正アクセスをはじめとした外部からの攻撃による場合も一定数は発生しています。主な原因としては、不正アクセス、盗聴、セキュリティホールなどが挙げられ、いずれも何らかのセキュリティ対策が必要なものばかりです。外部攻撃は当然ながら悪意のあるものであるため、企業はより多大な被害を受けるおそれがあります。
「我が社は誰からも恨みを買うようなことをしていないので心配要らない」と思われる方もいるかもしれませんが、不特定多数を狙った攻撃に関してはそうも言ってはいられません。万一こうした攻撃を受けてしまえば、企業はたちまち被害者でありながら、こうむった損害への対応に追われることとなってしまいます。特に重要な情報を預かる場合においては、外部からの攻撃への対策はいまや不可欠と言えるでしょう。
4.情報漏えいによる企業の損失
情報漏えいは、いざ起きてしまうと企業に甚大な影響を及ぼすおそれがあります。まず直接的な影響として挙げられるのは、被害者への損害賠償をしなければならなくなることです。情報漏えいによる平均損害賠償額は、1件あたり5億4850万円とされています。これほどの額ともなると、企業の規模によっては仮に賠償しきれたとしても、存続に関わるほどの事態に陥ることさえあるでしょう。
また、二次被害として企業イメージが低下してしまうことも避けられません。「情報管理が行き届いていない企業」とみなされ、取引や売上にも悪影響が出ることが考えられます。当然、タイミングとしては損害賠償への対応とも重なってくることでしょう。そのため、巻き返しを図るどころかますます悲惨な状況に追い込まれることさえあるのです。
5.情報漏えい対策をするには?
それでは、情報漏えいの対策を行うにはどのような方法があるのでしょうか。まずはじめに、社内教育による社員のセキュリティ意識の向上が挙げられます。情報漏えいの原因は、社内の問題であることが多いのは先の通りです。そのため、情報漏えいを防ぐうえで、従業員の情報に対する認識を改めさせることは必要と言えます。これは不正アクセス以上に、紛失・置き忘れが漏えいの原因となっていることからも明らかです。一人ひとりの意識付けを行なうだけでも、防ぐことのできる事故は多いと言えるでしょう。
また、情報が漏れない仕組みづくりも重要です。いくら意識向上を行ったところで、ヒューマンエラーは起こるときには起きてしまいます。社内の決まり事やルーティーンとして、情報が漏れる可能性のあるルートを塞いでおくことは可能な限り実践しておくべきでしょう。加えて、システムによる情報漏えいの防止も図る必要があります。いつ何時、悪意ある攻撃を受けるかわからない以上は、事前に対策を講じておかなければなりません。
5-1.対策1.情報を持ち出させない
情報漏えいを防ぐには、不必要な場面で情報を持ち出させないことが有効な対策の一つになります。これには機密性の大小に関わらず、持ち出すという行為そのものを禁止することが特に必要となります。各情報の重要度は、それを目にする人によって変わってくるものです。そのため、個々人の勝手な判断で「この情報は大したものではないから大丈夫だろう」と持ち出してしまうことが、のちに命取りとなることもあります。閲覧をしなければならない資料について、閲覧する場所は社内に限るように取り決めておくことが何よりの対策となるのです。
特に、機密性の高い情報が詰まったパソコンやUSBデバイス、紙媒体の持ち出しは漏えいのリスクが高まります。残業を行う場合には持ち帰らず、社内でのみ行うようにしたり、どうしても自宅での回覧が必要な場合であれば、許可されたもののみを特別に持ち出すようにするといった工夫が必要です。
5-2.対策2.私物の機器を持ち込ませない
社内情報の持ち出しも危険ですが、逆に私物のUSBデバイスなどの機器を持ち込んで使用することにも、リスクがあるため気をつけねばなりません。もし仮に、私物の機器が既にウイルス感染していた場合、接続した企業の機器も感染するおそれがあるためです。各家庭のコンピューター環境は、どのようになっているかはわかりません。そのためいくら企業側が厳重な情報管理システムを構築していたとしても、ウイルス感染している機器を持ち込まれてしまったがために、悲惨な事態に陥ってしまうことが起こりうるのです。
そのため、特別な理由がないのであれば、私物の機器の持ち込みは禁止することが必要です。そもそも機器を持ち込まれさえしなければ、こうしたリスクは回避できます。もしどうしても利用しなければならない場合には、管理者の許可が必要な仕組みを築いておくとよいでしょう。
5-3.対策3.情報を安易に放置させない
社内の情報を、不特定多数の目に触れてしまう状態で放置することは避けなければなりません。当たり前のことのようですが、実際にこうしたことができていなかったがために情報漏えいにつながってしまったケースもあります。とはいえ、適切な対処や処理の手順を守ることで、社内からの漏えいを防ぐことは可能です。まず、離席時に書類を机の上に放置したり、退社時にノートパソコンやタブレットを同様に置きっぱなしにしないことが大切です。手軽に第三者が持ち出すことのできる状況をつくらないことは、情報を守るうえでの基本となります。また、伝言メモを他人に見える場所に放置しないようにしたり、離れた位置にあるプリンタには、出力した書類をすぐに取りに行くようにすることも重要です。少しの間であれば大丈夫だろう、と安易に考えてしまったがために、大事に発展してしまうことも考えられます。
5-4.対策4.情報を安易に破棄させない
情報機器や書類を破棄することにも、危険がつきまといます。記載されているデータを消去しないまま安易に廃棄してしまうと、そこから情報漏えいにつながるおそれがあるのです。そのため、こうした情報機器や書類については適切な手順を踏んだうえでの廃棄を行うような取り決めが必要となってきます。具体的には、パソコンのハードディスクであれば、内部データの消去または物理的な破壊を行ったうえでの廃棄を行うとよいでしょう。DVDなどの電子媒体の場合であれば、物理的に粉砕してしまえば読み取られる心配はなくなります。
紙媒体のものに関しては、溶解処分を行うか、読み取りが不可能なレベルにまで細かく裁断してしまうことで対処が可能です。自社での廃棄に不安があるのであれば、こうした消去や裁断を専門としている業者を頼ることを視野にいれるのもよいでしょう。ただし、先にも触れた通り、廃棄するまでの間に人目につく場所に置きっぱなしにすることは、避けなければなりません。
5-5.対策5.情報を公言させない
紙媒体やデータの処分を適切に行っても、情報が漏れてしまうことがあります。情報を知り得た従業員が、直接口外してしまうことも考えねばならないのです。そのため、情報漏えい対策においては、従業員には守秘義務を徹底させることも重要となってきます。具体的な例としては、業務上知りえた情報や、顧客の個人情報を他人に話さないようにすることが挙げられます。また、業務に関係のないブログやSNSなどに、社内で得た情報を掲載させないことも必要です。
ただし、いくら守秘義務といったところで人間のやることですから、ふとした気の緩みから口外してしまうといったことは起こりえます。そのため、守秘義務については労働契約時や新入時の研修に留まらず、事あるごとに意識付けしておくことが大切です。定期的に耳に入れておくことで、社員の守秘義務に対する意識を高めていきましょう。
5-6.対策6.権限を譲渡させない
守秘義務に通じる話ではありますが、担当者の権限を他人に貸与、譲渡させないことも情報漏えい対策としては気をつけねばなりません。コンピューターなどの情報機器には、担当者ごとにIDやパスワードが割り振られることが一般的です。このID及びパスワードによって、担当者には該当する機器を操作する権限が与えられています。よって、担当者に割り振られたIDを貸与、譲渡してしまうことは、情報漏えいにつながるおそれがあるのです。
他人にIDを貸し借りしてしまうということは、個人認証を形骸化させてしまうことを意味しています。まかり通ってしまえば、IDが設定されている意味さえなくなってしまうのです。また、忘れることのないようにと、パソコン周りにIDやパスワードを書いて貼り付けることも避けなければなりません。目に見える位置にIDが貼ってあるのであれば、もはやIDなどないも同然の状態となってしまいます。また、他人のIDやパスワードを勝手に利用することは、不正アクセス禁止法に抵触する行為です。貸し与えることはもちろんのこと、安易に他人のIDを利用することもしてはなりません。
5-7.対策7.報告させる仕組みをつくる
どれだけ対策を講じたとしても、情報漏えいが発生してしまう可能性はぬぐい切れません。万が一にも発生してしまった場合、情報漏えいには早急な対策が必要です。そのため、情報漏えいに関する内容を、速やかに報告させるための仕組みづくりが欠かせません。特に個人情報については、顧客、関係企業、株主にまでも被害を及ぼすものであるため、最小限に抑えるためにはより速やかな対応が求められます。漏えいが発生した場合には、当事者であるか否かに関わらず、自己判断で行動してしまわないようにしましょう。
6.システムの対策も必要
システム上の情報漏えい対策として、機密性(Confidentialy)、完全性(Integrity)、可用性(Availability)の3つの要素(CIA)が重要だとされています。機密性(Confidentialy)については、先に示したようなIDなどのアクセス権を付与することで、限られた者だけがアクセスできるようにすることが挙げられます。完全性(Integrity)は、デジタル署名などを導入することで、データが改ざんなどがされていない適切な状態にあることを保つことを示したものです。可用性(Availability)は、ネットワークを増強するなどして、必要な際には常に適切にアクセスができる状態を保つことを意味しています。
7.情報漏えい対策は必要不可欠!社内の点検を!
会社の資産や顧客の個人情報は、漏えい対策を講じてもなお、流出するリスクとは常に隣り合わせです。物理的な持ち出しや外部からの攻撃、機器や資料の放置、守秘義務の不徹底など、流出する経路は多岐にわたります。もし不安を感じたのであれば、社内の情報漏えいへの対策状況を、ぜひ一度見直してみましょう。