情報化社会が進む現代社会において、どの企業にも共通の課題と言えるのが、「情報漏洩」への対策です。近年でも、大企業による大規模な情報インシデントに関する報道が後を絶ちません。システム面での強化ももちろんですが、何よりも注力しなければいけないのが社員に対する教育です。今回は、情報漏洩の危険性と、その対策方法に関してご紹介していきます。
目次 |
情報漏洩の原因のほとんどがヒューマンエラー
不正アクセスやウイルスへの感染など、外部からの攻撃による危険性が注目される情報セキュリティ。しかし蓋を開ければ、ほとんどの情報漏洩は、内部の人間のヒューマンエラーが原因で起こっています。例えば、本来BCCで送らなければならないメールを誤ってToで送ってしまったり、保存しておかなければいけない書類を誤って捨ててしまったり......そうした誤操作や管理ミス、紛失・置き忘れと言った単純なミスが重大な情報漏洩に繋がっており、外に意識を向けるのではなく、中にこそ注意を払わなければ、この問題を解決することは難しいと言えるでしょう。
【関連記事】サイバー攻撃とは。企業が「加害者」になり得るリスクとその対策。
最近起こった重大な情報インシデントの事例
内部の人間のちょっとした油断で起きたヒューマンエラーによって、重大な情報インシデントを巻き起こした事例をご紹介します。
某新聞社
概要
某新聞社は、クイズ当選者の個人情報が保存された業務用パソコンを、従業員が帰宅途中に紛失したことを明らかにしました。同社によれば、大阪本社編集局の従業員が帰宅途中に業務用パソコンを紛失。パソコンには、同新聞の日曜版に掲載されているコーナー内のクイズに応募した当選者265人分の個人情報が保存されていとのことです。
原因
当時その従業員が、帰宅途中にどのような経路を辿っていたかなどの情報は出ていませんので詳細は不明ですが、悪意がないにせよ会社用のパソコンを社外に持ち出してしまったことが一番の原因と考えられます。
地方自治体
概要
ある地方自治体は、個人情報が記載された国民年金関係書類が突風にあおられて飛散し、一部が所在不明となっていることを明らかにしました。同自治体によれば、庁舎の書庫整理のため、台車を使って書類を庁舎外へ移動した際、突風にあおられ書類が飛散、紛失したとのことです。すべての書類を回収することはできず一部の所在は現在もわかっていません。
参照:NHK NEWS WEB「大河原町 年金書類風で飛び紛失」 http://www3.nhk.or.jp/lnews/sendai/20180307/6000000431.html (2018年3月15日)
原因
外に持ち運ぶ際にしっかりとした管理をせずに放っておいてしまったのが原因のヒューマンエラーです。自然現象とはいえ、簡単に防げた事案なのは間違いありません。たった一瞬の気の緩みで、大きな事件へと繋がってしまう。教訓としては非常に有効な事例と言えるでしょう。
教育関係企業
概要
学習塾や英会話教室を運営している教育関係企業は、イベントの案内メールで誤送信が発生し、氏名やメールアドレスなどが流出したことを明らかにしました。同社によれば、英会話教室の一校が送信した案内メールにおいて誤送信が発生。保護者のメールアドレス134件が受信者間で閲覧できる状態となっていました。そのうち133件には、保護者の氏名や生徒の氏名などが含まれているとのことです。
参照:Security NEXT「英会話教室でメール誤送信 - 氏名やメアドが流出」http://www.security-next.com/090752 (2018年3月15日)
原因
本来BCCで送らなければならないメールをCCやTOで送ってしまうという、典型的なメール送信時のヒューマンエラーです。仕事に慣れてくればくるほど、こういった細かなチェックがおろそかになってくるので、意識だけでなく仕組みの面でも、対策を講じる必要がありそうです。
このように、悪意の有無は関係なく、ちょっとした気の緩みや操作のミスで大きな事件へと発展してしまうのが情報セキュリティの怖いところです。一度個人情報を漏洩してしまえば、その信用は大きく傷つき、回復させることは困難を極めます。実際、それを発端として倒産にまで発展してしまった企業も少なくありません。事件を未然に防ぐためには、その仕事に携わる全員の意識を変えることが必須とも言えるのです。
【関連記事】IT管理者が注意すべきパスワード管理方法・ツールとは?
新入社員に対する教育を徹底。全社員の意識を高めることが最大のセキュリティ強化
先ほどもご紹介したように、情報漏洩を防ぐために最も注意しなければならないのは、システムや仕組みといった大きなものではなく、日常にあるちょっとした意識や行動です。しかもそれらは、経営陣などの一部の人間だけが気を付ければ良いというものではなく、社員全員で意識を高めていくことが必要と言えるでしょう。どんな時でも、自分が犯人や当事者になりえる可能性があるということを常に認識しておかなければならないのです。
新入社員も含め、全社員に徹底して、
- 情報漏洩の大半はヒューマンエラーである
- メールやFAXなどのデータ送信の際にミスは発生しやすい
- なにげない会話にも情報漏洩の危険性は潜む
- 情報を取り扱う責任は重く、一度傷つけると回復は困難
ということを伝え、共通意識として持ち続けられる組織にしていきましょう。
社内教育というのも一つの手法です。社員一人ひとりの認識不足、意識の低さを自覚させ、考えを改めさせることができる機会を絶やさない取り組みが必要でしょう。
【関連記事】ウィルス対策はどうするべき?自社に最適なセキュリティソフトの選び方
まとめ
情報漏洩の主な原因はヒューマンエラーであり、当事者に悪意がないケースも非常に多いものです。逆に言えば、だからこそ情報漏洩のリスクは高く、誰しもが加害者や被害者になる可能性があるとも言えるでしょう。
システム面での強化はもちろんですが、それだけでは情報漏洩を防ぐことができません。まずは社員一人ひとりの意識を改革し、全員が情報漏洩を起こさないという意志を強く持つことが大切になります。社員教育もその方法の一つなのです。
社員全員が当事者としてこの問題に向き合うことが、情報セキュリティの基礎であり、ゴールでもあると言えるでしょう。
【関連記事】凶悪化するランサムウェアから企業を守るには? 最初に取り組むべきはセキュリティリスクの"見える化"
JBCC株式会社JBCC株式会社は、企業のデジタル・トランスフォーメーション(DX)を支援する総合ITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,150社、超高速開発による基幹システム構築 440社、セキュリティ 1,100社の実績があります。 |