アウトソーシングで情報漏洩リスクを防止!
アウトソーシングで情報漏洩リスクを防止!
ここでは、社内処分の注意点「社員の過失と不注意」について紹介していきます。社内で処分する場合のリスクについて、詳しく解説していますので参考にしてください。
外部へ委託するよりも、機密情報は社内だけで処分した方が機密性が高いように思えます。ところが、実際には社内で完璧に処理することは難しく、社内だけで完結しているから安全であるとは言えません。
社内には多くのリスクが潜んでおり、代表的な例としては処理基準を統制しにくいために発生する過失や不注意、セキュリティ意識が低下した場合の情報漏洩などが挙げられます。とある統計では機密文書の漏洩事故・事件のうち、約7割は社内に問題があったという衝撃的な結果が出ています。これは、機密文書処理をはじめとする、セキュリティマネジメントの意識を、社員ひとりひとりに徹底させることが、いかに難しいかを語っていると言えるでしょう。
せっかくシュレッダーを設置したのに、1ヶ月も経つとシュレッダーの前に機密文書が積み上がっていただけだった、というケースも珍しくありません。
「社員はきちんと処理をしてくれるだろう」という期待とは裏腹に、日々の業務に追われる社員にとっては面倒な手間でしかないのが実情です。
結局、積み上がった書類の山は、年末大掃除や年度末にまとめて処分している会社が多いのが一般的です。それまでの間、機密情報を保管し続けておくという行為は、セキュリティ面において危険なだけです。
特に個人情報が売買される昨今では、社内に出入りする来客や業者、臨時雇いの雇用者などの目に触れる位置に放置される期間が、そのままリスクにさらされている期間と言い換えることができます。
一斉廃棄も人手のかかる手間となりますし、手早く済ませようとすればするほど、過失や不注意によるセキュリティ低下を招くという問題を抱えています。
機密文書の情報漏洩による企業や組織に与える損失は、時に甚大なダメージがかかることもあり、軽視することはできません。具体的にどのような損失があるのか、考えてみましょう。
情報漏洩によって企業や組織が被る損失の一例は、個人情報保護法における個人情報の義務違反による罰則です。個人情報保護法では、意図的であるか否かに関係なく、個人情報が社外への流出した場合、当該企業が個人情報を適切に取り扱わなかった、つまり個人情報保護法における義務違反とされ、当該企業に対して「6ヶ月以下の懲役または30万円以下の罰金」が科せられます。
この件でポイントになるのは、個人情報の漏洩によって、被害者が発生したか否か?ではないということです。被害が発生しようとしまいと、情報漏洩が発生した時点で、個人情報保護法に基づき、当該企業に対しては義務違反の法的責任が問われることになります。
個人情報保護法違反による法的責任の問題とは別に、個人情報の漏洩によって被害を受けた被害者が、民事的な賠償請求を行うこともあります。この場合、企業は被害者に対して損害賠償を支払わなければなりません。そしてこれは企業にとっての金銭的負担であり、賠償額によっては企業の財政を圧迫することになるでしょう。
とりわけ、流出した情報が多ければ多いほど賠償額は増えていき、場合によっては億単位に及ぶケースもあるので、企業としてはまったくもって無視することはできません。
法的責任、金銭的負担に続き損失となるのは、社会的信用の喪失です。社会的信用の喪失とは、当該企業の企業的価値や地位、経済力への信頼性が失われることを意味します。社会的信用が失われると、多くの取引先が離れていき、売り上げが減って業績も下がり、事業継続が難しくなって、ついには企業倒産に陥ってしまう可能性があります。
お金の問題はキャッシュと資産の蓄えがあればなんとかなりますが、社会的信用を失うことは、当該企業の土台を揺るがすことになり、企業としての存続自体を困難にさせるため、様々な企業損失の中で最も致命的といえるでしょう。
企業が保有していた機密情報や個人情報は、なぜ漏洩してしまうのでしょうか?具体的な原因についても考慮してみましょう。
情報漏洩の原因として最も多いのは、情報を取り扱う社員によるヒューマンエラー(人的ミス)です。具体的には、紛失・置き忘れ、誤操作、盗難被害などがこれに該当します。処分すべき文書を紛失したり、シュレッダーにかけるはずのところを一般ゴミと同じように捨ててしまったり、情報を記録したメディア(USBやSDカード)をカバンごと店や駅に置き忘れたり、ヒューマンエラーが情報漏洩の原因になるケースは枚挙にいとまがありません。
そしてこの問題は、結果的にヒューマンエラーであっても、根本的には社内の情報管理システムの脆弱さが原因といえるでしょう。
IT化の進展に伴って、サイバー攻撃や不正アクセスによる情報流出の割合も増えてきました。手口は年々、高度化・巧妙化していますが、その多くはサーバーの脆弱性を突いた不正アクセス、その結果としての端末のマルウェアへの感染、情報漏洩というパターンです。いわゆるフィッシング詐欺サイトも横行しており、それと気づかずアカウント情報を入力してしまい、情報漏洩に繋がる事例もあります。
このようなサイバー攻撃や不正アクセスに対しては、ウイルス対策や不正アクセス対策といった、サイバーセキュリティの強化が必要です。
機密文書の廃棄・処分について、外部の専門業者へ委託している企業も多いでしょう。その際、業者の選び方を間違ってしまうと、情報漏洩が起きる可能性があります。なぜなら、一口に処理業者といっても、情報処理に対する知識やスキルは一律ではなく、業者によってクオリティの高いところもあれば、実績の少ないところもあるからです。もし後者のような業者を選んでしまうと、文書が適切に処理されず、外部へ流出してしまう危険性があります。
処理業者へ委託する場合は、実績が豊富で専門性が高く、自社工場を持ち、社員教育にも注力しているなど、信頼できる業者を選ばなければなりません。
セキュリティ重視 機密情報の量が多い企業に |
料金重視 定期的に委託したい企業に |
利便性重視 迅速な処理を頼みたい企業に |