アウトソーシングで情報漏洩リスクを防止!
アウトソーシングで情報漏洩リスクを防止!
公開日: |更新日:
ここでは、社内処分の注意点「社員の過失と不注意」について紹介していきます。社内で処分する場合のリスクについて、詳しく解説していますので参考にしてください。
外部へ委託するよりも、機密情報は社内だけで処分した方が機密性が高いように思えます。ところが、実際には社内で完璧に処理することは難しく、社内だけで完結しているから安全であるとは言えません。
社内には多くのリスクが潜んでおり、代表的な例としては処理基準を統制しにくいために発生する過失や不注意、セキュリティ意識が低下した場合の情報漏洩などが挙げられます。とある統計では機密文書の漏洩事故・事件のうち、その多くは社内に問題があったという衝撃的な結果が出ています。これは、機密文書処理をはじめとする、セキュリティマネジメントの意識を、社員ひとりひとりに徹底させることが、いかに難しいかを語っていると言えるでしょう。
せっかくシュレッダーを設置したのに、1ヶ月も経つとシュレッダーの前に機密文書が積み上がっていただけだった、というケースも珍しくありません。
「社員はきちんと処理をしてくれるだろう」という期待とは裏腹に、日々の業務に追われる社員にとっては面倒な手間でしかないのが実情です。
結局、積み上がった書類の山は、年末大掃除や年度末にまとめて処分している会社が多いのが一般的です。それまでの間、機密情報を保管し続けておくという行為は、セキュリティ面において危険なだけです。
特に個人情報が売買される昨今では、社内に出入りする来客や業者、臨時雇いの雇用者などの目に触れる位置に放置される期間が、そのままリスクにさらされている期間と言い換えることができます。
一斉廃棄も人手のかかる手間となりますし、手早く済ませようとすればするほど、過失や不注意によるセキュリティ低下を招くという問題を抱えています。
機密文書の情報漏洩による企業や組織に与える損失は、時に甚大なダメージがかかることもあり、軽視することはできません。具体的にどのような損失があるのか、考えてみましょう。
情報漏洩によって企業や組織が被る損失の一例は、個人情報保護法における個人情報の義務違反による罰則です。個人情報保護法では、意図的であるか否かに関係なく、個人情報が社外への流出した場合、当該企業が個人情報を適切に取り扱わなかった、つまり個人情報保護法における義務違反とされ、当該企業に対して「6ヶ月以下の懲役または30万円以下の罰金」が科せられます。
この件でポイントになるのは、個人情報の漏洩によって、被害者が発生したか否か?ではないということです。被害が発生しようとしまいと、情報漏洩が発生した時点で、個人情報保護法に基づき、当該企業に対しては義務違反の法的責任が問われることになります。
個人情報保護法違反による法的責任の問題とは別に、個人情報の漏洩によって被害を受けた被害者が、民事的な賠償請求を行うこともあります。この場合、企業は被害者に対して損害賠償を支払わなければなりません。そしてこれは企業にとっての金銭的負担であり、賠償額によっては企業の財政を圧迫することになるでしょう。
とりわけ、流出した情報が多ければ多いほど賠償額は増えていき、場合によっては億単位に及ぶケースもあるので、企業としてはまったくもって無視することはできません。
法的責任、金銭的負担に続き損失となるのは、社会的信用の喪失です。社会的信用の喪失とは、当該企業の企業的価値や地位、経済力への信頼性が失われることを意味します。社会的信用が失われると、多くの取引先が離れていき、売り上げが減って業績も下がり、事業継続が難しくなって、ついには企業倒産に陥ってしまう可能性があります。
お金の問題はキャッシュと資産の蓄えがあればなんとかなりますが、社会的信用を失うことは、当該企業の土台を揺るがすことになり、企業としての存続自体を困難にさせるため、様々な企業損失の中で最も致命的といえるでしょう。
企業が保有していた機密情報や個人情報は、なぜ漏洩してしまうのでしょうか?具体的な原因についても考慮してみましょう。
情報漏洩の原因として最も多いのは、情報を取り扱う社員によるヒューマンエラー(人的ミス)です。具体的には、紛失・置き忘れ、誤操作、盗難被害などがこれに該当します。処分すべき文書を紛失したり、シュレッダーにかけるはずのところを一般ゴミと同じように捨ててしまったり、情報を記録したメディア(USBやSDカード)をカバンごと店や駅に置き忘れたり、ヒューマンエラーが情報漏洩の原因になるケースは枚挙にいとまがありません。
そしてこの問題は、結果的にヒューマンエラーであっても、根本的には社内の情報管理システムの脆弱さが原因といえるでしょう。
IT化の進展に伴って、サイバー攻撃や不正アクセスによる情報流出の割合も増えてきました。手口は年々、高度化・巧妙化していますが、その多くはサーバーの脆弱性を突いた不正アクセス、その結果としての端末のマルウェアへの感染、情報漏洩というパターンです。いわゆるフィッシング詐欺サイトも横行しており、それと気づかずアカウント情報を入力してしまい、情報漏洩に繋がる事例もあります。
このようなサイバー攻撃や不正アクセスに対しては、ウイルス対策や不正アクセス対策といった、サイバーセキュリティの強化が必要です。
機密文書の廃棄・処分について、外部の専門業者へ委託している企業も多いでしょう。その際、業者の選び方を間違ってしまうと、情報漏洩が起きる可能性があります。なぜなら、一口に処理業者といっても、情報処理に対する知識やスキルは一律ではなく、業者によってクオリティの高いところもあれば、実績の少ないところもあるからです。もし後者のような業者を選んでしまうと、文書が適切に処理されず、外部へ流出してしまう危険性があります。
処理業者へ委託する場合は、実績が豊富で専門性が高く、自社工場を持ち、社員教育にも注力しているなど、信頼できる業者を選ばなければなりません。
情報漏洩を防ぐためには、とにもかくにも会社内における社員のセキュリティー意識を高め、全員に情報管理の大切さを認識させていく必要があります。情報漏洩が起きれば会社に損害が発生し、引いては社員一人ひとりの雇用や給与にも関わってくることになりかねないからです。実際にどのような形で情報漏洩を防ぐか、それについては具体的な仕組みづくりをしていくようにしましょう。情報漏洩を100パーセントなくせるようなことはまずあり得ないのですが、できることを徹底することで、情報漏洩のリスクは限りなく下げていけるはずです。
情報漏洩を防ぐにあたっては、外部への情報の持ち出しを禁止することが有効な実効策の一つとなります。情報の価値を問わず、徹底して持ち出しを禁止することで、情報そのものが外部に出ていく機会が圧倒的に減ります。個々人の判断に任せると、情報の価値を見誤って不用意な持ち出しをしてしまうことがあるので、それをルールとして封じてしまうのです。その際、閲覧場所なども厳しく限るようにするといいでしょう。また、もしどうしても仕事上の問題で持ち出さざるを得ない場合は、事前に申請を行い、しかるべき部署・役職者の判断を仰ぐ体制を整えるようにしましょう。
情報を取り扱う際、自前の端末にデータをコピーして持ち出すようなケースがよくあります。個人で責任を持って管理していればいいのですが、外部で紛失するなどの事故のリスクが伴うようになるため、私物の機器については使わせないよう厳しく制限・禁止するようにしましょう。また、私物の端末がもしウイルスに感染していたとなれば、情報にアクセスしようとしたときに社内ネットワークにウイルスが蔓延し、大事故になる可能性もあります。そうした事故を防ぐためにも、私物の端末は使わせないようにしましょう。
情報漏洩を防ぐためには、不特定多数の目に触れる状態で情報を放置しておくことは避けるようにしなければなりません。もちろん意図的にそんなことをする人は、悪意がない限りはいないのですが、人には「ついうっかり」というものがどうしてもあります。社内の情報漏洩防止の意識が低いと、他の人のそうした意識の低下によるケアレスミスを見落とし、情報漏洩につながってしまうことがあるのです。そうしたことを防ぐためには、社内でルールを徹底する体制を整える必要があります。たとえば、離席時や退社時に書類やパソコン、タブレット端末などを机の上に出しっぱなしにしないようにするなど。自身の情報を、手軽に他人が見られるような状況を作らないことが大事です。たとえわずかであっても、そうした時間を作らないようにしましょう。
情報は蓄積していくに従って、不要なものも増えていきます。いずれそうしたものを処理することになるのですが、処理の方法を徹底しないと、そこから情報漏洩につながってしまうこともあります。紙の書類はもちろんのこと、パソコンなどの端末の処分についても、より確実に内部の情報が流出しないようにすることが大切です。具体的な方法としては、内部のデータを消去した上で物理的に破壊するなどです。また、処分した情報も、確実に廃棄されるまでは人目につきやすい場所に放置しないようにしましょう。
情報漏洩はデータだけでなく、情報を知っている社員が外部で口外してしまうこともケースとしてあり得ます。そのため、機密情報を知る社員に対しては、守秘義務を徹底させることも重要になります。その際は、話す内容はもちろんのこと、SNSなどの使い方についても注意させることが必要です。そして、ふとした緩みで口をついてしまう、ということもあるので、常に情報漏洩防止の意識づけを行い続けるようにしましょう。
会社での機密情報の取り扱いに関しては、情報を取り扱える人の権限を決めていることが多くなっています。その際に大事なのは、権限を与えられた社員がそれを他人に貸与、譲渡しないようにすることです。それ以外にも、会社から与えられたID・PASSを他人に使わせないようにしましょう。もし他人に権限を貸し、そこから情報漏洩が発生してしまうと、結果として権限を貸与した人に責任が発生します。また、勝手にID・PASSを使えば、その人が責任を問われます。覚えられないからといって目につくところにID・PASSを貼っている人もいますが、そうしたこともしないようにしましょう。
どれだけ徹底したとしても、情報漏洩を100パーセント防ぐことはできません。ただ、それを隠してしまうと、どんどん被害が大きくなっていくので、情報漏洩が発生した際には速やかに報告するようにフローを仕組みとして構築するようにしましょう。その際、情報漏洩に厳罰を科すと、返って報告が上がってこなくなる可能性があります。情報漏洩が起きた際の、関係者の処分についても、注意するようにしましょう。
セキュリティ重視 機密情報の量が多い企業に |
料金重視 定期的に委託したい企業に |
利便性重視 迅速な処理を頼みたい企業に |