情報漏洩対策

昨今、個人情報漏洩により多くの企業が被害にあっています。また2015年9月には『個人情報保護法』の改正案が成立し、これまで5000件以上の個人情報を持つ事業所のみが対象でしたが、1件でも個人情報を保有していれば個人情報保護法を遵守しなければならなくなりました。法適用に関わらず情報漏洩は企業の信頼を失墜させ、取引先・ユーザー・社員から制裁を受ける場合もあります。このような被害が起こる前に社内ルールの徹底化と情報システムによる対策が必要になります。



情報漏洩の原因とは?

引用:個人情報漏えい編(セキュリティ被害調査ワーキングループ) JNSAより

ほとんどがヒューマンエラーによるもの

グラフを見てわかるように、情報漏洩の原因の多くがヒューマンエ

ラーによるもので全体の8割を占めています。社内のデータの取り

扱い方をはじめとした社内ルールの徹底化及びシステムによるデ

ータの監視を行い情報の漏えいをしない・させない環境づくりが必

要になります。


具体的な原因

1

管理ミス

▶引っ越し後に個人情報の行方が不明になった

▶受取った個人情報が紛失した

▶誤って個人情報を公開してしまった

2

誤操作

▶メールやFAXの送信先を間違えて送信してしまった

▶操作ボタンの押し間違えにより漏洩

3

不正アクセス

▶マルウェアの感染により情報が漏洩

▶フィッシングサイトに個人情報を打ち込んでしまった

4

紛失・置き忘れ

▶USB等の記憶媒体を外部で紛失してしまった

▶スマホやタブレットを置き忘れてしまった

5

不正な持ち出し

▶会社のパソコンを自宅に持ち帰ってしまった

▶個人携帯でビジネスメールを受信している

6

盗難

▶退職した従業員によって社内のデータが持ち出され悪用されてしまった

▶情報漏洩目的で派遣・パートとして社内に入り込み情報を盗難される



情報漏洩ってどうやって対策するの?

一概に情報漏洩対策といってもどうやって対策すればいいのかわからない方は多いのではないでしょうか?人為的ミスで被害が発生してしまうことなので社内ルールを徹底していてもある程度個人任せになってしまう部分もあります。そうした部分はシステムの力を使い情報漏洩対策を徹底化することが必要になります。まずは社内の情報がどのように管理・使用されているか把握するところから始めてみましょう。


最低限行うべき情報漏洩7つの対策

① 情報は持ち出さない

自宅などで業務実施するために、勝手に企業のパソコンを持ち出すことを

会社として禁止しましょう。業務の都合上持ち出しが必要な場合は、社外で

操作した記録を残したり、テレワークシステムを活用してデータ自体を持ち

出さない仕組み作りをしましょう。

② 情報の安易な放置はしない

会社の情報を安易に人目に付くところに放置しない。

【具体例】
・顧客情報を印刷したまま放置している
・パソコンで社外秘のファイルを開いたまま放置している
・パソコンの起動にパスワードが設定されていない
・個人宛のメモを付箋で机の上に貼っている

当然のことですが、少しなら大丈夫と思ってやっていることも多いのではないでしょうか?

③ 情報の安易な廃棄をしない

業務で使用していたパソコン等をデータを削除せずに廃棄して情報が漏

洩するケースも少なくありません。システムで削除していてもHDDの中か

ら完全に削除されておらず第三者によって復旧されることもあります。

データを完全に削除できるサービスを利用することも効果的な手段です。

同様に紙資料もシュレッダーを使用せずに一般ごみとして廃棄するのは非

常に危険なので絶対にやめましょう。

④ 不要な持ち込み(私用機器)の禁止

私用機器を持ち込むことはあらゆるリスクをもたらします。

【具体例】
・私用のパソコンを業務ネットワークに接続した
・業務メールアカウントを私用で使用した
・業務に関係のないwebへアクセスをしていた
・私用のUSBに業務データを一時的に保存した

このような行動は、業務ネットワークにウイルスを持ち込んだり気づかないうちに社外秘データを持ち出していたりすることもあります。

⑤ 鍵をかける・貸し借りの禁止

社内の中でも部署や役職によってみることが出来る情報の範囲は異なりま

す。給与情報・経理情報等を扱う機器には必ずパスワードを設定して、他の

従業員が操作することが出来ないように管理しましょう。またIDの貸し借り

は情報セキュリティ上非常に危険なので絶対にやめましょう。

⑥ 情報の公言の禁止

会社の情報を公言することは守秘義務に抵触します。直接的に社外に情報を公言することは少ないとは思いますが。普段の行動で間接的に情報の漏えいにつながることもあるので気を付けましょう。

【具体例】
・会社の同僚と食事の際に顧客の話を大声でする
・人混みの中で業務の電話をする
・ノートパソコンを使用してカフェで仕事をする
・匿名のSNSアカウントで業務の写真を掲載する

⑦ まずは報告

万が一情報漏洩をした恐れがあるというときには必ず管理者に報告をしま

しょう。自分の会社の情報だけでなく顧客・取引先・株主・親会社・子会社・

従業員など情報漏洩によって被害を受ける様々な関係者の被害を最小限

に抑える必要があります。自分で何とかすることを考えずに管理者と相談

して被害の最小化を図ることを第一に考えましょう。



情報システムによる対策

OECDの情報セキュリティガイドラインでは、情報セキュリティは情報の
『機密性』(Confidentiality),『完全性』(Integrity),『可用性』(Availability)の3要素からなると定義しています。

密性(Confidentiality)

機密性とは、その情報やシステムにアクセスすることを許可されたものだけがアクセスできるようにすることを示し、ユーザーIDやパスワードによる認証、またフォルダ等に対するアクセス制限の付与権が挙げられます。

全性(Integrity)

完全性とは、情報及び処理方法が、正確であること及び完全であることを担保することです。これは故意や過失等を問わず、データが常に適切な状態にあり、故意に改ざん等がされたものではないという状態にあることを確保することです。具体例には文書やWebページ等のデジタル署名などが挙げられます。

用性(Availability)

可用性とは、その情報を使用できる適切な権限を持ったものが、常に必要な時に適切にアクセスできることを示します。これは機器の電源の冗長化や、ネットワークの増強、システムの二重化による耐障害性の向上などが挙げられます。

うちの会社は小さいから大丈夫。取られて困る情報なんて、一つもないよ。

中小企業は、大企業に比べてセキュリティ対策が不十分なので狙われる可能性が高いです。また大企業へのサイバー攻撃の足掛かりとしても狙われ、加害者になってしまいます。

知らないうちに加害者になってしまうのは怖いなあ。

そうですよね。多額の損害賠償が発生しますし、社会的信用を一気に失ってしまいます。
弊社では、セキュリティ診断なども行っておりますので、お気軽にお問い合わせください。

お問い合わせ

Tel.0766-25-1881

営業時間 8:30 - 17:30 定休日:土・日曜日・祝日