Vol.37 これを押さえれば大丈夫!情報漏えい対策7つのポイント!!

昨今、個人情報などの流出に対する対策が叫ばれ、中小企業・小規模事業者の情報セキュリティ対策への意識も高まりつつあります。
今年(2015年)9月には「個人情報保護法」の改正案が成立しました。これまで、保有する個人情報の合計件数が5,000件を超えない事業者は、個人情報保護法の適用対象外とされていましたが、改正後は1件でも個人情報を保有すれば、個人情報保護法を順守する必要があります。
法適用の有無にかかわらず、個人情報漏えいなどの問題が発生すれば社会的信頼を損ね、取引先、社員などから制裁を受ける可能性もあります。

パソコンや携帯電話などの情報機器、メールや会計ソフトウェアなどの情報システムを利用する機会も増え、情報セキュリティに関する脅威は増大しているとも言えます。そのような状況の中、最悪の事態を避けるためにも、日々の事業活動において最低限の対策を講じておく必要があります。

そこで今回のミラサポ総研では、情報セキュリティに関する脅威の中でも最も深刻な問題である「情報漏えい」に注目し、7つのポイントをご紹介します。
ぜひ、社のルールとして従業員の皆さんにも周知いただき、意識と環境を整えましょう!

※記事協力:独立行政法人情報処理推進機構(IPA)

FIXME

クリックすると拡大します

パソコン、書類など企業の情報資産を、許可なく、持ち出さない!

FIXME

クリックすると拡大します



JNSA(NPO日本ネットワークセキュリティ協会)による調査では、個人情報漏えいの原因(件数)は「誤操作」が一番多く、「管理ミス」、「紛失・置忘れ」が約80%を占めました。「管理ミス」とは、企業として管理指針や手順(管理ルール)が徹底できていなかったことを示します。
パソコンや電子媒体、書類などといった情報資産を扱う上でのセキュリティポリシーや管理手順を定める企業も増えていますが、「管理ルールがあるのに、それを守らせることができなかった」といった問題がある場合も多くなっています。
管理ルールの策定はもちろんのこと、従業員に対するセキュリティ教育など、情報に関する管理手順の徹底も重要です。

社員の中に自宅などで業務を実施するために、情報資産である会社のパソコンや、業務情報が格納されたUSBメモリなどの電子媒体、プリントした書類を持ち帰る人はいませんか。社外に情報資産を持ち出すと、このような事故につながる危険性が高まりますので、許可のない持ち出しの危険性を理解させましょう。

未対策のまま目の届かない所に放置しない

FIXME

「業務上大切な書類を机の上に放置したまま席を離れる、あるいは帰宅する」ことや、「離れた場所にあるプリンタに出力した書類を、すぐに取りに行かない」、「個人宛の伝言メモを誰でも見えるところにおく」など、社内で思い当たる状況はありませんか。

業務上大切な書類や電子媒体、モバイル可能なパソコンなどを使わない時は、きちんと鍵のかかるキャビネットなどに格納するよう指導してください。
業務途中で席を離れる場合、起動中のパソコンには、パスワードロックのできるスクリーンセーバーが動作するようにパソコンを付与する前に設定を行うなど、事前に対策を講じましょう。

未対策のまま廃棄しない

FIXME

社内で業務に使用していたパソコンを、ハードディスクをきちんと消去しないまま廃棄し、そこから情報漏えいした事例が多数報告されています。
同様に、業務情報を格納した電子媒体や書類を、安易にゴミ箱に捨てたために、情報漏えいしたと言う事例も報告されています。

最近は、パソコンのハードディスクの内容を完全に消去するサービスを行う企業もありますが、このようなサービスを受けるか、社内で廃棄のための手順や技術を確立し、それに従う必要があります。たとえば、物理的に破壊することも一つの方法です。
重要な書類や電子媒体を、一般ごみと一緒にゴミ箱に廃棄しないよう、社員にも廃棄手順を徹底させましょう。

許可なく、持ち込まない

FIXME

許可なく持ち込んだ私物のパソコンやUSBメモリなどの外部記憶装置がウイルスに感染していた場合は、社内の他のパソコンやサーバに、ウイルス感染を広げる可能性があります。大切な業務情報がインターネットを通じて流出する可能性も考えられます。

また、誤った操作で情報漏えいする危険性もあります。例えば、持ち込んだ私物のパソコンやUSBメモリなどの外部記憶装置を利用する際に、不用意に大切な業務情報が格納されてしまい、意図せずに情報を持ち出してしまう可能性もあります。このような場合は、情報漏えい事故が発生した際の、情報の流失経路の特定が困難になります。また、電子メールを私用で使った際に、誤って大切な業務情報を流出させる可能性や、ブログや掲示板への不用意な書き込みから、意図せず大切な業務情報を流出させる可能性もあります。

さらに、許可されていないネットワーク(オンライン)ストレージサービスを利用し、情報が盗まれる危険性や、安易な設定や使い方で情報漏えいが起こる場合もあります。
許可のない、機器やプログラムなどのデータ、サービスの利用は危険性が高いことを認識させましょう。

個人に割り当てられた権限を、許可なく、貸与または譲渡しない

FIXME

業務で使用する情報やパソコンなどの機器に、利用者権限を担当者ごとに設定していることと思います。利用者IDごとに利用権限を定義し、利用者IDはパスワードまたは個人認証で保護した状況です。当然のことですが、これらの利用者IDやパスワードを共有したり、貸し借りしたりすることは、情報セキュリティ上、非常に大きな問題を引き起こす可能性があります。利用者IDやパスワードを安易に貸し借りする行為は、問題が発生したときの原因追及にも影響を及ぼします。

同じ理由で、パスワードなどを忘れないように、パソコンに貼り付けておくことも、セキュリティ上問題のある行為です。

他の人に与えられた、利用者IDおよびパスワードを使用する行為は、なりすましと呼ばれ、不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)に抵触します。権限を与えると同時に、このようなセキュリティの問題についても、社員に理解をさせましょう。

業務上知り得た情報を、許可なく、公言しない

FIXME

「業務上知り得た情報を口外しない」といったことは一般的な(社会人としての)モラルであり、企業では新入社員研修などで守秘義務について教育を行っていることと思います。しかし、気の合う仲間と雑談している時に、業務上の情報を無意識に口にしてしまい、それを第三者に聞かれるなど、ちょっとした気の緩みから情報漏えいを起こすことがあるようです。

最近ではSNS(ソーシャル・ネットワーキング・サービス)やブログ、掲示板でのやり取りにも注意を促す必要があります。業務で知り得た情報を、サービスに参加する人たちの関心を引きたいあまり、モラルに反し発信する人もいるようです。
入社時の研修のみならず、守秘義務に対する意識向上を図りましょう。

情報漏えいを起こしたら、自分で判断せずに、まず報告

FIXME

何らかの誤りで情報漏えいを起こしたり、あるいは情報漏えいを発見したりした場合は、社員が自分で何とかしようとする前に、速やかに上司や管理者に報告するよう、社員への意識付けを行いましょう。

自社のことだけでなく、個人情報を漏えいされた最終的な被害者、顧客、取引先、親会社、従業員など情報漏えいによって被害を受ける様々な関係者の被害を最小限に抑える必要があります。
自社の経営方針に基づき全体のバランスを考えながら被害の最小化を図ることが重要であり、そのためにも初動は大切です。速やかな対応を行うためには、社員からの迅速な報告が不可欠です。

社員の意識向上をサポート

「情報漏えい対策7つのポイント」を出力し、社内の掲示板などに張っておくだけでも、社員の意識向上に寄与することと思います。ぜひ、ご活用ください。
また、このポイント7つの対応策や事例など、さらに詳しい解説がIPAの資料にありますので、ぜひご確認ください。
情報漏えい対策のしおり~企業(組織)で働くあなたへ7つのポイント!!~

IPAでは「情報漏えい」に限らず、さまざまな情報セキュリティ対策のポイントを公開しています。 こちらもぜひ、ご覧ください。
その他情報セキュリティ対策のポイント
情報セキュリティ対策支援サイト「iSupport」(セキュリティ支援ツールポータル)




すべての特集を見る