皆さんの企業では、情報漏えいをどの程度警戒していますか?
また、情報漏えいへの対策や、実際に起きてしまった場合の対処について検討しているでしょうか。
こちらでは、多くの企業に理解が求められる情報漏えいの原因や対策といった情報についてお話しします。
情報漏えいリスク管理について動画解説!
求められる情報漏えい対策
「情報漏えい」とは、主に保有している機密情報や個人情報が管理の届かない外部へ流出することを指します。
機密情報、また個人情報保護法の保護下にある情報が漏えいしてしまうことは、企業にとって大きなリスクです。
以下のような背景から、多くの企業に情報漏えい対策の意識が今一度求められています。
情報漏えい対策が必要になっている背景
より強固な情報漏えい対策が必要になっている背景には、以下のようなビジネススタイルの変化があります。
モバイル端末の普及
ひとつ目に挙げる変化は、ビジネスにおけるモバイル端末の普及です。
スマホをはじめとしたモバイル端末はクラウドサービスとの親和性も高く、ビジネスに大きな業務効率化効果をもたらしました。
一方で、オフィス内のセキュリティ対策で守られていない端末であることから、情報漏えいを招くこともあります。
テレワークの普及
新型コロナウイルスによって多くの企業がテレワークの開始を余儀なくされました。
出勤を伴わないテレワークは、移動時間を削減できる、社員がリラックスできる環境を選べる、移動コストがかからないなど、メリットをもたらした側面もあります。
一方で、企業側で管理されていないネットワークを利用することから、個々人に情報漏えいを防ぐ対策が求められるようになりました。
情報漏えいから考えられるリスク
情報漏えいが起こると、以下のようなリスクが考えられます。特に、企業が受ける被害は甚大です。
これから紹介するリスクを回避するためにも、セキュリティ対策を強化する必要があります。
なりすまし
企業がWebサービスやECサイトを利用することは一般的になっています。
しかし、アカウントの情報が漏えいすると、なりすましや不正利用の被害にあってしまうことも考えられます。
このような被害にあわないためにはID・パスワードの適切な管理が必要です。
刑事罰・損害賠償
個人情報保護法では、情報漏えいが発覚した場合、国からの改善命令に従うことが義務付けられています。
この命令に従わない場合、刑事罰として懲役、または罰金が科されます。
2022年4月には個人情報保護法の改正が決まっており、懲役期間や罰金がさらに厳しくなるため注意が必要です。
また、上述した刑事罰とは別に、民法上の損害賠償責任も発生します。企業の情報漏えいは規模も大きく関わる人数も多くなる傾向があるため、損害賠償の合計額が1,000万円を超えてくるようなケースもあります。
社会的信用への打撃
現行の個人情報保護法では、情報漏えい案件の公表・報告は努力義務です。
一方、改正後はこれらが義務化されます。
刑法上・民法上で責任を果たしたとしても、一度「セキュリティに問題がある企業」というレッテルを貼られてしまうと、社会的信用への打撃は免れません。
ハッキング
企業が運営しているWebサイトの管理者情報が漏えいすると、サイトを改ざんされる可能性も懸念されます。
管理者ページから支払い情報などが盗み取られてしまうことも考えられます。
また、不正プログラムを埋め込まれた場合、訪問者にとって有害なWebサイトになってしまいます。
企業で情報漏えいが起こる原因
企業で情報漏えいが起こる原因について、以下の3パターンに分けてご紹介します。
従業員の過失
業務上の過失によって情報漏えいが起きてしまうケースは少なくありません。
パソコン、スマホなどの端末や記憶媒体を置き忘れると、情報漏えいにつながるケースがあります。
テレワークの普及によりオフィス以外の場所で仕事をする機会が増えた現在では、特に注意が必要です。
また、複数の取引先や顧客とやり取りしている場合は、メールやチャットの誤送信による情報漏えいも警戒しなければなりません。
内部不正
件数はそれほど多くありませんが、社内の人間によって意図的に情報が持ち出されるケースがあります。
怨恨や他社に協力する意図などが代表的な動機のようです。
信頼している社員による裏切りのため、事前の対策を講じにくい点が問題です。
悪意ある第三者によるサイバー攻撃
企業を標的としたサイバー攻撃は後を絶ちません。
単純に損害を与える目的のほか、個人よりも潤沢な企業の資金獲得を目的としたサイバー攻撃が増えています。
大手企業ばかりが標的になると思われがちですが、サイバー犯罪者が主なターゲットにしているのは、セキュリティに穴がある中小企業です。
情報漏えい対策を講じる上での課題
ここまでご紹介したような必要性・リスクを実感していたとしても、それまで情報漏えい対策を意識していなかった企業がセキュリティ強化へ急にシフトすることは難しいでしょう。
その背景には、情報漏えい対策に関する以下のような課題があります。
予算
情報漏えいを防ぐためには、予算を投じてセキュリティ対策を講じる必要があります。
しかし、日本の企業には海外諸国と比較してセキュリティを重要視する風土が根付いていません。
そのため、経営層の理解が得られづらい傾向があります。
人材
日本国内では全体的にセキュリティ人材が不足しています。
また、限られたセキュリティ人材は大手企業に集中している状況です。
多くの企業では社員が通常の業務とセキュリティに関する業務を兼任していますが、情報漏えい対策は片手間でできるほど簡単ではありません。
リソースを割かなければ、そのぶんセキュリティ対策が手薄になってしまいます。
技術
セキュリティ対策を専任する人材がいないことから、多くの企業では技術が不足しています。
特に、サイバー攻撃は常に新しい手口が誕生し複雑化していることから、新しい技術へのキャッチアップは不可欠です。
情報漏えいを防ぐ対策
情報漏えいを防ぐために、具体的にはどういった対策を実施すべきなのでしょうか。
代表的な情報漏えい対策をご紹介します。
情報管理方法の最適化
情報漏えい事案の多くは、情報の管理不備によって引き起こされています。
また、情報漏えい事案の原因として多いのは、端末の紛失や置き忘れなどの過失です。
適切なセキュリティソフトウェアを導入していれば、ネットワーク経由で情報が漏えいする危険性が低下します。
ヒューマンエラーを完全になくすことはできませんが、社内の情報管理方法を見直し最適化することで、ある程度のリスクを回避できます。
特に、テレワークを導入している場合は、オフィス外で業務を行う際の情報管理方法について今一度見直すことが大切です。
権限付与の厳格化
社内の人間によって情報が持ち出される可能性を考えると、誰でもアクセスできる状態でファイルを保管しておくのは危険です。
ファイルの閲覧・編集権限付与などを利用すると、アクセスできる人を限定できます。
サーバーがある部屋への入室を制限するなど、物理的な権限付与を厳格化する対策も有効です。
信頼できるセキュリティ製品の導入・更新
企業が実施するにあたって手軽な対策のひとつがセキュリティ製品の導入です。
セキュリティ製品を導入することで、ネットワーク経由の不正アクセスやマルウェアの侵入を防ぐことができます。
ただし、日々進歩しているサイバー攻撃に対応するためにはセキュリティ製品を更新することが重要です。
また、セキュリティ製品には購入時点で期限が設けられており、契約期限が切れた場合は新しい種類のサイバー攻撃に対して脆弱になってしまいます。
期限を把握し、必要に応じて契約更新を行うことも大切です。
外部サービスの利用
情報を管理する場所として、以前は社内に設置するサーバーが安全であると考えられていました。
しかし、セキュリティ対策が十分でない企業の場合、社内管理によってかえって危険が招かれることも考えられます。
クラウドストレージは当初はインターネットを利用することからセキュリティ面が懸念されていましたが、現在は社内で管理するよりもはるかに安全だと考えられています。
万が一、情報漏えいが起きた場合
万が一、情報漏えいが起きた場合はどのように対処すべきなのでしょうか。具体的な行動について解説します。
状況・規模の把握
まず、情報漏えいの状況・規模を把握します。
どのような情報が流出したのか確認し、落ちついてその後の動きを考えましょう。
また、顧客や取引先など情報漏えいを報告すべき関係者についてもこの時点で割り出します。
スピーディーな公表
情報漏えい事案に関わっている人に対し、速やかに公表・報告してください。
現行法での公表・報告は事実上任意でしたが、2022年4月の個人情報保護法改正後は義務化されます。
そのため、社内だけで処理して終わらせることはできません。
再発防止の徹底・対策のアピール
同じような情報漏えい事案が起きないように原因を把握し、再発防止の取り組みを徹底します。
情報漏えいが起きた時点で関係している取引先や周辺企業からの信用を大きく損ねていることが考えられるため、具体的な対策を打ち出し、再発防止に努めることをアピールすることが大切です。
ただし、取引先との関係性や漏えいした情報の内容、規模によっては、信頼関係の修復に時間がかかることも予想されます。
まとめ
現在では、ほとんどの企業が例外なく流出が許されない情報を保持しています。
また、モバイル端末の利用、テレワークなど、現在普及している働き方には情報漏えいの“穴”が少なくありません。
小さな気の緩みや管理体制の不備から大きな情報漏えい事案につながってしまうことは少なくないため、今一度自社のセキュリティ体制を見直しておきましょう。
新しい働き方による情報漏えいを懸念している企業様は、ぜひご利用をご検討ください。
おすすめ資料ランキング
【著者・監修者企業】
弊社はパソコン周り、オフィス環境、法律の改正、コスト削減など、ビジネスに関わるお困りごとの解決策を提供する当サイト「ビジ助channel」を運営しています。
資格
一般建設業 東京都知事許可(電気通信工事業):(般-4)第148417号
古物商 東京都公安委員会許可(事務機器商):第304361804342号
労働者派遣事業 厚生労働省許可:派13-316331
小売電気事業者 経済産業省登録:A0689
電気通信事業者 総務省届出:A-29-16266
媒介等業務受託者 総務省届出:C1905391
関連SNS
- トータルサポート
-
-
- オフィス環境
-
-
- 目的別で探す
- ネットワーク環境
-
-
- 環境サービス
-
-
- 目的別で探す
- Webプロモーション
-
-
- 3Dソリューション
-
-
