情報セキュリティについて

情報漏えいを防ぐための方法

情報漏洩は今や企業運営における大きなリスクです。

個人情報保護法が施行されたことにより、業務上個人情報にあたるデータを収集する企業は必ず必要な防御対策を講じなければならないこととなっています。

個人情報をずさんに取り扱うことにより外部に情報が漏れた場合には、そのことによって起こった損害を賠償する必要が生じたり、何よりも社会的な信用を大きく失墜してしまうことになります。

特に総務部は顧客名簿や請求書などの情報をファイルする役割を担うため特に情報セキュリティについては慎重になる必要があります。

現在では顧客に関する情報のほぼ全てはパソコン内のHDに保存するようにしている企業が大半かと思いますが、その場合にはまず外部からの侵入を防ぐとともに、取り扱う人間が安易に危険な方法で取り扱いをしないことが重要になります。

誤解されているのが情報漏洩の決定的な要因についてで、実は外部からハッキング行為によって侵入を受ける割合は全体の漏洩数からするとごくわずかであり、大半はそれを取り扱う人員によるミスがもとになっているのです。

総務部は常に緊張感を持ってファイルを取り扱うとともに、社内全体にセキュリティ意識を周囲徹底させていく必要があります。

ヒューマンエラーによる情報漏洩の事例

ヒューマンエラーによる情報漏洩の例としてまず新しい事例として挙げられるのが、2015年に起きた日本年金機構による年金受給者の情報漏洩です。

これは外部から送られてきたメールの添付ファイルをスタッフが開封してしまったためにパソコンに感染が起こり、それがネットワーク上の別の機器にも広がっていったというかなり深刻なケースでした。

以前より「怪しい添付ファイルは開封しない」というふうに多くの場所で言われてはいるものの、実際に業務にあたっていると何が怪しいファイルかそうでないのかの判断がつきにくいという問題があります。

日本年金機構の場合、メールは送信元やファイル名などが巧妙に偽装されており、かつ最新のウイルスであったためにインストールしていた市販の検知ソフトでは発見をすることができなかったということで大きな衝撃を与えました。

ある意味防ぎようがなかった事例とも言えるのですが、万が一のときにはかなり被害は拡大してしまうのだという意識を持って業務を行う必要があるということは今後意識しておくべきでしょう。

もっと悪い事例としては個人情報が入ったノートパソコンやUSBメモリを公共の場で紛失をしてしまったりということもしばしば聞かれます。

セキュリティ対策としての具体的な方法

企業内で行う情報セキュリティ対策としては大きく3つがあり、それぞれ「物理的な防御」「アクセス権限の設定」「ネットワーク・セキュリティ」となっています。

まずもっともわかりやすいのが「物理的な防御」で、これはデータを必要としない課の者が安易にデータ・アクセスができないようにしたり、情報が入ったHDを鍵付きの保管場所に入れて隔離するといった方法です。

他にも「ゾーニング」として社内の人間と来客とのスペースを大きく分けるようにしたり、パソコンの画面を他の人が覗けないようにするといったことも物理的な対策となります。

また「アクセス権限の設定」では、権限のある管理者しか特定の情報にアクセスできないようにしたり、パソコンの設定を変更できないようにするといった方法になります。

最後の「ネットワーク・セキュリティ」は外部の専門家に依頼して強固な機器環境を作るということで、この3つを組みあわせることでより漏洩のリスクを下げることができます。