中小企業の情報セキュリティ~情報漏洩対策

情報管理

LINE@やFacebookなどSNS活用を中小企業の皆様にお勧めしている中小企業診断士・堀です。

今回も情報セキュリティ対策について書いていきます。

今回は「情報漏洩」について考えていきたいと思います。

分かれ道

目次

最近の情報漏洩事件

情報漏洩に関する事件は毎年何らかの形で発生しています。

近年で一番インパクトが大きかったのは、2014年の大手通信教育企業「ベネッセ」の個人情報漏洩事件ではないでしょうか?

漏洩した個人情報が複数の名簿業者で転売され、最終的に入手した別の通信教育業者がその名簿をもとにDMを発送したことから発覚したものです。

個人情報を漏洩させたのは、ベネッセのシステム子会社に派遣で入っていたデータベース技術者で、セキュリティの規定の隙間をぬって個人情報をデータベースから抜き出していました。

最終的には約3500万件の個人情報が流出したといわれています。

流出した個人情報の持ち主には「お詫び」として1人500円のクオカードが配られました。

実は、私の家族3人分も流出した個人情報の中に含まれており、クオカードを受け取った側になります。

「お詫び」として受け取る側の気持ちとしては、『個人情報の価値って1件500円かよ?』と思ってしまう部分もありますが、支払う側としては、トータルで1億8000万円近い出費となり、決して軽い負担ではないのです。

企業の立場から見ると、やはり情報漏洩等の情報セキュリティに関する事件や事故は起こさないように対策をとることが重要です。

これは、企業の大小にかかわらず、すべての企業が意識すべき点でもあります。

情報漏洩はなぜ起こる?

考える人
では、そのような情報漏洩はなぜ起きてしまうのでしょうか?

主な原因は次の4点になると思います。

  • 内部不正
  • マルウェア感染・標的型攻撃
  • 機器の操作ミス
  • 転職時の情報持ち出し

内部不正

先ほど挙げたベネッセの個人情報漏洩の件がこれに該当します。

職場環境や職務内容に対する不満、私生活での問題・トラブル等がその背景にあるとされます。

外部で個人情報が高値で取引されているため、不満や問題を抱えているような人が金銭目的で情報を流出させてしまうのです。

マルウェア感染・標的型攻撃

日本年金機構やJTBでの個人情報漏洩事故が該当します。

標的型攻撃を受けて不正なプログラムの侵入を許してしまい、その不正なプログラムの動きから重要な情報が流出してしまうというものです。

日本年金機構の場合は、内部規定を順守していなかったという問題点もあります。

機器の操作ミス

電子メールやFAXの誤送信が該当します。

転職時の情報持ち出し

競合他社へ転職する際に、重要な機密情報を持ち出して売り渡していたようなケースです。

情報漏洩対策とは?

指示
情報漏洩対策は、基本的に前項であげたような原因に対応して考えていきます。

  • 職務の充実・従業員満足度の向上
  • ウィルス対策ソフト導入
  • ダブルチェックの導入
  • 退職時の手続き整備

職務の充実・従業員満足度の向上

内部不正による情報漏洩を起こさないようにするためには、職務内容や職場環境を充実させ、従業員満足度を高める取り組みが求められます。

従業員満足度が高まると、企業に対する忠誠度(ロイヤリティ)も高まります。

企業に対する忠誠度が高まれば、内部不正を行おうとする要因は低下します。

従業員満足度向上のためには、金銭的な面での充実も必要かもしれませんが、日ごろから従業員とのコミュニケーションを密に行い、信頼関係を築くことも重要です。

ウィルス対策ソフト導入

マルウェア対策としては、ウィルス対策ソフトの導入が必要です。

もちろん、ただ導入するだけではなく、定期的な情報更新とスキャンの実行が必要です。

ただし、標的型攻撃の場合は、マルウェアの侵入を防ぐのは難しいと思われます。

不審な差出人からのメールは開かない、添付ファイルを開く前にウィルスチェックを実行する等、業務運用面でのルール作成と徹底も重要と思われます。

ダブルチェックの導入

メールやFAXの誤送信等の操作ミスによる事故を防ぐためには、複数人で運用を行うダブルチェックが有効です。

実際に、私が以前勤務していたシステム企業では、社外に送信するメールを送る前に他のメンバーに送信先や送信内容に問題がないかチェックをしてもらってから、メール送信を行っていました。

ダブルチェックを行うためには、複数の従業員が必要となり、その分の工数増も考慮に入れなければなりませんが、操作ミスによる事故を防ぐための投資として考えたほうがよいでしょう。

また、一人で運営しているような企業・個人事業主の場合は、メール送信前に送信先や添付ファイルについて確認するマクロやアドインをメールソフトに組み込んで、「ダブルチェック的」な仕組みを作っておきましょう。

退職時の手続き整備

従業員の退職時の手続きとして、機密保持契約を結ぶことが必要です。

企業にとって重要な機密情報を漏洩させた場合に損害賠償を請求する等の条項を盛り込んでおくことによって、情報流出の抑止が期待されます。

どんなに小さな企業であっても、重要な機密情報はあるはずです。

そのような情報を持ち出されないような仕組みを作っておく必要があります。

まとめ

情報漏洩に関する問題は、流出した情報の価値がはかりづらいという特徴があります。

そのため、物理的な損害等に比べて事後の企業負担は大きくなる傾向があります。

また、いったん事件・事故が発生してしまうと、一瞬にして自社への信頼が失墜してしまいます。

自分の企業を守るために「情報を守る仕組み」を作っていきましょう。

LINE@からも問い合わせを受け付けております。下記のQRコードから友だち登録をお願いいたします!

QRコード