情報漏洩リスク

情報漏洩リスクとは

個人情報保護法が施行され、多くの情報を持つ企業にとって情報は守るべきものになりました。 しかし依然として情報の紛失や情報の漏洩は無くなってはいません。
個人情報の紛失や漏洩が無くならない原因としては、その大部分が企業の管理方法にあると言われます。 ネットワークセキュリティに関する情報提供や情報共有、啓蒙・教育活動、 啓発のためのワーキンググループの開催といった活動を行っているNPO法人である JNSAが公表する2016年情報セキュリティインシデント調査報告に基づくと、以下表のような原因比率になります。

※JNSAホームページより一部抜粋　http://www.jnsa.org/result/incident/

一方で個人情報漏洩による平均想定損害賠償額は、情報内容によりますが一人当たり3万円強と言われ、 情報漏洩が会社経営を傾かせる可能性も指摘されています。 情報漏洩リスクとは、企業が持つ情報の管理がなされていない結果、経営を脅かす可能性があることと、 規模の大小にかかわらず、どこにでもそのリスクが存在することを知っておく必要があるのです。

情報漏洩が起きる理由

情報漏洩の大部分は情報を扱う社員の操作ミスや管理ミスです。 例えば普段から情報の移動にフラッシュメモリを使用していたり、 個人情報をメール送信したりと、情報を扱う際の配慮がされていないケースです。 また悪意のある内部犯行のケースでは、情報がそもそも誰でもが触れる状態にあったり、データの保管方法が甘かったりするため、 セキュリティに対する意識が低いことが多いようです。

漏洩する場合の多くは、「事業を優先したことによる情報管理の甘さ」が原因で、作業効率が下がることや、 管理者の設置などを省いてしまった結果、大きな問題に繋がってしまうのです。

情報漏洩を減らすための第一歩

情報漏洩を防ぐ第一歩は、自分たちの守るべき情報が何なのかを明確にすることです。
情報の内容は当然事業によって異なりますが、大きく考えると２点あります。

①顧客情報・個人情報

②社内秘情報

守るべき情報が絞れたら状況を理解する

情報は本来管理者が管理を行い、持ち出しや抽出などを監視しておくことが重要になります。 最近では各企業でも管理者を設置し、操作ログなどを取ったり情報の持ち出し許可を管理したりしています。 しかし、情報持ち出し時の情報はきちんと調べても、持ち出し後にデータが加工されたり、 利用者が別のリストを勝手に作って利用しているケースなどがあり、 そういった情報が漏洩するというケースが見られます。

情報の管理は出る部分だけではなく、
情報を利用する先でどう扱われるのかを管理すること
も重要なのです。

情報取り扱い規定を決めて社員に啓蒙を行う

確実な情報管理を行うには社員の協力が必要になります。 上記の表から見てもわかるように、漏洩原因の大部分は個人情報の不正抜取といった悪意から発生するものではありません。 利用者の考えの甘さや認識の低さからくるものがほとんどです。
とは言え利用者の情報管理の意識がすぐに変わる訳はありません。 意識付けにはルールの徹底と教育が必要です。 そしてルールも教育も、なるべく仕事に併せて理解していくことが必要です。

例えばメール送信時は個人情報をつけないようにするとか、情報をフラッシュメモリで抜き取らないなどのような、 具体的な行動で規定を決めて行くことが重要になってきます。 結果として業務効率が下がる場合や、そのためのインフラ面でのサポートも必要になりますが、 社員の中に守るべき情報についての意識は高まるはずです。

確実な情報管理は、情報の利用を全体把握しておく事が重要

守るべき情報を把握し、その情報の管理を社員全員で意識できれば、 会社の情報セキュリティ要件は大部分満たされたと考えて良いと思いますが、しかし、それだけでは悪意のある行動や、 管理ミスが撲滅されたとは言えません。 最終的にはシステムの力で漏洩を発覚させることが重要です。

情報を扱うパソコンでは操作ログやデバイスの管理など様々な情報が取得できます。 操作ログなどの情報を管理することで、不正な情報操作が行われていることや、 あるはずのない個人情報リストが作られていることなど、様々なことが管理できるようになります。 会社全体の情報を、ミスや不正を含めて総合的に管理していくことが、これからの情報漏洩を防ぐために必要となってきます。

情報漏洩対策なら当社に

当社では情報漏洩対策として、まずどういった管理が必要なのかを確認させていただきます。
リスクの把握を行い、最適な対策と社員の情報リテラシーを高めるための個人情報保護規定の策定も含めた形でご提案をさせていただきます。
まずはご相談からでも結構ですのでお気軽にご連絡ください。