情報漏えいは企業にとって、大きな損失を意味します。単に情報が外部へ漏れるだけでなく、それによって業務に悪影響が出たり、信頼が下がって売上に響いたりと、さまざまな影響が考えられるでしょう。そこで今回は、そんな情報流出のリスクを最小限に留めるためのセキュリティ対策について考えていきます。
たったメール1本の誤送信で起こる「情報漏えい」
2017年6月30日、茨城の日立市でメール誤送信による303人分の情報漏えいが発生しました。この原因は、なんとメールの送信者全員を「BCC」に設定せず、「TO」に設定し、送信をしてしまったこと。受信者には、市民303名の名前とメールアドレスが漏えいしたことになります。
このように、ちょっとしたヒューマンエラーが、大きな情報漏えい事故につながるケースは少なくありません。2014年には、メーラー付属のオートコンプリート機能が災いし、世界各国の首脳の個人情報が投影してしまった事件もあり、話題になりました。
まさに“うっかりミス”ではありますが、個人情報の取り扱いにおいて“うっかり”は許されません。また、これが個人情報だけでなく、企業の機密情報や、クライアントから預かったデータだったら……事態はさらに深刻となるでしょう。
情報漏えいによる企業へのリスクは?
情報漏えいが起こった場合、企業にはどのような影響があるでしょうか? いくつか例を挙げてみましょう。
- 直接的に与えられる被害
- まずは、原因が究明されるまで業務内容に制限が加わると予想されます。場合によっては、メールの送受信ができなくなる可能性もあるでしょう。当然、これでは仕事が回らず、現場の生産性が著しく低下します。さらに、情報拡散防止対策を行わなくていけないので、そのための費用がかかります。その後、事故の原因を究明し、対策をするための費用もかかるでしょう。単に“情報が漏れた”では済まされない、コスト面での多大なダメージが予想されます。
- 間接的に与えられる被害
- 直接的被害以外として考えられるのは、第一に企業としての社会的信用の損失です。場合によっては風評が拡がり、株価が下落する可能性も。さらに追い打ちをかけるように、顧客から取引縮小を言い渡されることもあるでしょう。また、対策に伴って業務効率が低下し、従業員に過重労働を強いる事態も想定されます。結果、従業員に不安・不満が溜まり、モラルの低下が引き起こされるかもしれません。
情報漏えい予防のために立てておきたい企業としての対策
このように、企業にとって情報漏えいとは直接的・間接的に、大きなダメージを受けてしまう原因となり得ます。このリスクを少しでも小さくするには、どのような対策が考えられるでしょうか? データセキュリティの観点から考えていきます。
- Webサイト・ソフトウェアの脆弱性対策の実施
- 運営するWebサイトや社内で使用しているソフトウェアに、セキュリティ上の問題点がないかを確認してください。どこからともなく悪質なソフトウェアが入り込み、情報漏えいの起点となる可能性があります。
- 個人情報に対するアクセス制限
- 個人情報は、社内の誰でもアクセスできるような場所に置いておいてはいけません。限られた従業員のみが閲覧できるよう、制限をかけるのが基本です。
- インストールできるソフトの制限
- 業務で使用するパソコンには、インストール可能なソフトを指定し、制限をかけましょう。同時に、私用と業務用のパソコンを分け、目的以外では使わないよう徹底してください。
- ディスクの暗号化
- どんなにセキュリティ対策を行ったとしても、パソコンが盗難に遭ったり、出先に置き忘れたりといったトラブルが起これば、情報漏えいは免れません。こうした状況に備え、パソコンはもちろんUSBメモリなども、ディスクの暗号化を行いましょう。
情報漏えいを防ぐためには、企業側が先導して従業員にその重要性を伝えていかなくてはなりません。リスクを共有し、当事者としての意識を持ってもらうのが説明の第一歩。その後、必要な対策についてじっくりと意見を交わしながら、それぞれの企業にあったセキュリティ対策を考えていってください。
