企業による重要情報の漏えい事故に関する報道を、たびたび目や耳にする機会があります。これらの事故は場合によっては重大な責任問題に発展するケースもあり、企業の存続にかかわる事態にもなり得ます。この記事では企業の情報漏えい対策の重要性をご説明し、セキュリティ対策の強化や社内教育の必要性についてご紹介します。

企業にとって情報漏えい対策が重要な理由

企業が管理している重要な情報が外部に漏れ、大きな問題へと発展したケースがたびたび報じられています。ここでは、企業の情報管理や漏えい防止がなぜ必要で、重要な取り組みであるのかについてご紹介します。

情報漏えいによる影響とは？

重要な情報が漏えいすることにより、企業は深刻な被害を受ける可能性があります。具体的な被害には、以下のようなものがあります。

1.企業の信頼喪失

企業による情報漏えい事故の発生が報じられると、多くの方がその事実を知ることになります。そのなかには「情報の管理を適正に行わない企業」とイメージを持ってしまう方も一定数いるため、企業そのものの社会的な信頼度は悪化してしまいます。こうした企業のイメージダウンや信頼喪失は多くの顧客や取引相手を失うなど、多大な損失につながるケースも少なくありません。

2.損害賠償などによるダメージ

顧客データなどの情報漏えい事故により、顧客や取引先に直接的な損害を与えることとなった場合、損害賠償を負担する必要が出てきます。その金額が膨大なものとなったケースも実際にあり、企業の存続にかかわる事態を招く可能性もあります。

なぜ情報漏えいが引き起こされてしまうのか

情報漏えい事故が起こる過程には、必ず何らかの原因があります。ここでは、情報漏えい事故が引き起こされる理由や要因についてご紹介します。

内部の人間によるミス・不正によるもの

従業員によるメールの誤送信や、データおよび書類の廃棄方法を誤るなどの人的ミスにより、情報が外部に流出してしまうケースです。また、やむを得ず帰宅後に業務を行う為に自宅に書類や端末を持ち帰った際、セキュリティ管理が不十分な自宅のパソコンから情報が流出したケースもあります。
また、従業員など、内部の者の不正行為によって故意に情報を外部に渡してしまうケースも散見されます。

内部不正による情報漏えい事故の詳細は、以下の記事でもご紹介しています。

外部からの攻撃によるもの

標的型攻撃による企業内端末のマルウェア感染や、何者かによる情報端末の盗難など、悪意ある第三者によって情報流出を図られるものです。

以下は、警察庁の「令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について」による、標的型メール攻撃の件数の推移をグラフにしたものです。

2015年から2018年にかけ標的型メール攻撃の件数は増加し、2019年で一旦減少に転じました。しかし2020年は上半期だけで2019年の半数以上の発生件数が確認されており、再び増加の傾向を見せていることが分かります。
標的型メール攻撃のほか、フィッシングサイトによってアカウント情報が漏えいするケースや、公共の無線LAN（Wi-Fi）の利用により端末情報が筒抜けになる、個人所有PCの利用、持ち運びしているノートPC・タブレット端末の紛失・盗難など、最近はテレワークの普及にともなう情報漏えいのリスクも問題視されています。
そのため企業の情報漏えい対策には、内部への対策のみならず外部への対策も強化し、内外それぞれから厳重なセキュリティ管理を行う必要があるといえます。

情報漏えいを防ぐための対策

ここでは、情報流出を防ぐための具体的な情報漏えい対策をご紹介します。

内部からの流出を防ぐために

・情報の持出しを禁止する

企業内でガイドラインやマニュアルを作成し、会社の承認なく情報の持ち出しが出来ないよう具体的な規制と物理的な仕組みをを設け、全従業員に周知を図りましょう。また、正規の手続きを経て情報をUSBやCD等の電子媒体に書き込み、持ち出したとしてもうっかり紛失してしまう場合が想定されます。電子媒体にパスワード設ける、データそのものを暗号化する等の対策を施しましょう。

・情報へのアクセスを制限

書類やデータの管理を徹底し、機密情報にアクセスできる社員を絞り込むことが必要です。また、USB経由でスマホからパソコンにアクセスできないようにUSBポートを物理的に、あるいはソフトで使用できないようにすることも必要です。

・出入管理装置や防犯カメラの設置による未然防止

悪意を持った情報漏えいを未然に防ぐ為には、出入管理装置や防犯カメラを設置するなどの対策を行っておくことが重要です。万一情報の持出しが発生しても発生日時の特定、犯行の証拠の確保が出来ます。

外部からの攻撃を防ぐために

不正アクセスといった外部からのサイバー攻撃も近年はより巧妙化しているため、アクセス権限などの管理をさらに強化し、機密情報に部外者を近寄らせないための対処が急務となります。また、パスワードの定期的な変更やセキュリティサービスの導入、パソコンのウイルス対策ソフトを常に最新の状態にアップデートするなど、継続的にリスク管理を行うことが重要です。

社員に対するセキュリティ教育

内部でのミスによる情報漏えい事故は、セキュリティ対策に対する意識の低さにより起こるとも考えられます。全従業員の意識を高めるため、セキュリティ教育を目的とした研修活動などを積極的に実施しましょう。
業務を行う上で必要なシステムやツールは、社員のITリテラシーが十分であることを前提に作られているという認識を持つことが重要です。社員のITリテラシーが不十分だとツール類も正しく機能せず、業務効率が上がらないばかりか、情報漏えいリスクを増加させる危険があります。
次の項目では、社員へのセキュリティ教育の必要性についてもう少し詳しくご紹介します。

求められる社員のセキュリティ教育

ここでは、従業員へ向けたセキュリティ教育活動の具体的な内容の例をご紹介します。

社員に対するセキュリティ教育の例

先の項目でもご説明した情報漏えいによる具体的なリスクを、従業員に向けても啓蒙します。実際に起こった事案の例や、自社に当てはめた場合の詳細なリスクなど、情報漏えいに関する意識付けを行いましょう。
また自社で設けたガイドラインやマニュアルについても、定期的に確認を促す機会を設けましょう。せっかく設けたマニュアルや規約を形骸化させず社員に伝え、常時徹底できるよう取り組みましょう。
新人スタッフの入社時やプロジェクトへの参加時、あるいは退職時などに秘密保持誓約書の確認および署名を行うなど、機密情報に対する認識を徹底させることも重要です。これらを都度実施することで、内部不正を未然に防ぐための心理的ハードルにもなるでしょう。

各種就業規則の例や誓約書のテンプレートは、以下に記載されています。

https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/handbook/reference2.pdf

標的型攻撃メールに各従業員が正しく対応するための訓練も、定期的に実施しましょう。標的型攻撃メールは年々巧妙化しているため、対応方法もアップデートが求められます。実際に模擬メールを送って正しい対応を確認するなど、社員のITリテラシーの向上を図りましょう。

情報セキュリティ対策はALSOKにお任せください

ALSOKでは、企業向けのセキュリティサービスを多数ご提供しています。
警備会社であるALSOKならではの効率的かつ確実な機械警備や出入管理サービスをはじめ、文書やデータを守ることに特化された情報漏えい対策サービスも各種ご利用いただけます。
多彩なサービスから各企業に適したものを選定でき、文書やデータの流出防止から不審者対策までをワンストップで活用できる点がALSOKの強みです。

まとめ