“にんげんだもの”じゃ済まされない?不注意による情報漏えい事故!
みなさん、はじめまして!新米エバンジェリストの高野です。
先日、国際フォーラムにある相田みつを美術館に友人と行ってきました。相田みつをの作品といえば、有名な作品の一つに、“にんげんだもの”がありますね。ちょっとしたミスをしてしまったときに、この“にんげんだもの”と言い訳したことある方、多いのではないでしょうか。
そんな便利な言葉、“にんげんだもの”ですが、タイトルにある不注意による情報漏えい事故でも同じ言い訳ができますか?例え同じ様なちょっとしたミスでも、情報漏えい事故が絡むと途端に“にんげんだもの”では済まされなくなると思います。
今回は、情報漏えいのセキュリティ事故がなぜ“にんげんだもの”で済まされないのか、情報漏えいが組織に与える影響を踏まえながら説明していきたいと思います。
IPA10大脅威にもランクイン!?
IPAが毎年1月に発表している情報セキュリティ10大脅威2023年でも、9位に「不注意による情報漏えい等の被害」といった、人間起因による情報セキュリティ脅威がランクインしています。2022年は10位でしたので、某市のUSBメモリ紛失事故が影響しているのかもしれませんね。
ではこの、“不注意による情報漏えい”とは具体的にどのようなものがあるか考えてみましょう。
例えば・・・
・A社に送るはずの見積書をB社に送付してしまい、見積書など顧客情報が漏えい
・電車の網棚に社給PCが入ったカバンを置き忘れ、PCから顧客の重要情報が漏えい
・居酒屋で社給スマホが入ったジャケットを忘れ、スマホから顧客の連絡先が漏えい
メールの誤送信や社給PCやスマホの紛失、聞いただけで背筋が凍りますね。
ではここからは万が一このような情報漏えいを起こしてしまったときの組織に与える影響を考えてみましょう。
情報漏えい事故が組織に与える影響
情報漏えい事故が発生すると、大なり小なり組織に影響を与えます。どんな影響があるのか書き出してみました。最悪の場合、“にんげんだもの”じゃ済まされませんね・・・・
・損害賠償の支払い
・社会的信用の失墜
・ブランドイメージの低下
・株価の下落
・行政指導による業務停止
・事業免許の取り消し・停止
情報漏えいが組織に与える影響が最悪の場合非常に大きいことが分かりますね。そのため、“にんげんだもの”と言い訳するのではなく、しっかりと対策を行うことが大切です。
不注意によるセキュリティ事故を減らすために
不注意によるセキュリティ事故を減らすための対策を個人編と組織編に分けて説明していきます。
個人編
会社の情報資産を所有している意識を持つ
実はこれ、一番効果的だと思っています。会社の情報資産をわざと紛失させてやろう!という人はいませんよね。もしPCを会社の重要資産と認識していれば、飲み会に行く場合に、会社にPCを置いていく、泥酔するまで飲まないといった判断ができます。
メールの送付前に不要な情報が含まれていないか確認する癖をつける
メールを送る前に、宛先、宛名、件名、内容、添付ファイルが本当に正しいかどうか、不要な情報が含まれていないか確認する癖を付けましょう。プライバシーマーク制度を運営しているJIPDECの調査によると、個人情報漏えい事故のうち、誤送付が6割と最も多いようです。
組織編
セキュリティ教育の実施
不注意による情報漏えい事故は従業員のリテラシーの低さが原因の一つです。定期的な情報セキュリティ教育を実施することで、発生リスクを低減できます。
セキュリティルールの見直し
重要情報を社外に持ち出す際のルールはありますか?重要情報を持ち出す場合は、上長の許可を得るなどといった組織ルールを見直すことも効果的です。
対策ツールの導入
昨今、情報漏えい対策ツール(DLP)やメール誤送信対策ツールといった、不注意によるセキュリティ事故をシステム的に予防する方法も登場しています。ただ、ツールを導入すれば完璧!というわけではありませんので、上記のセキュリティ教育の実施や、セキュリティルールの見直しと組み合わせることで対策の効果を最大限に発揮できます。
さいごに
ここまで読んでくださった方は、不注意による情報漏えい事故は“にんげんだもの”では済まされない、とご理解いただけたかと思います。
対策を行うことでこの事故は発生リスクを低減できます。一人ひとりが組織の一員であることを認識し、組織/情報資産を守っていきましょう。
これからもセキュリティに関連した記事を投稿しますのでお楽しみに!
【YouTube】セキュリティに関連した動画も投稿中!
