こんにちは、株式会社シフト データアナリスト担当『H』です!
まずは、「自己紹介」からさせてください。
株式会社シフトに入社して1年以上が経過しました。
社内では、コンテンツマーケティングチームの「広告」の効果測定を担当しております。
「リスティング広告」なども担当しており、広告全般を担当しております。
弊社のサイト作成「SITEMANAGE」などの広告も掲載していますで、興味がある方は「Web」で検索してみてくださいね。
本日のテーマは「情報漏えい」です。
目次
◆テーマ:『情報漏えい』
1.『情報漏えい』とは?
2.『情報漏えい』にはケースがある
3.『情報漏えい』の原因で「ヒューマンエラー」が多い
4.「ヒューマンエラー」を防ぐには
5.まとめ
『情報漏えい』とは?
みなさんは「情報漏えい」という言葉を聞いたことがありますでしょうか?
ニュースでもよく報道されているので、言葉の意味を知らなくても聞いたことはあるという方は多いのではないでしょうか。
みなさんはこんな経験はないでしょうか?
・突然、知らない企業から連絡がきた
・知らないメールアドレスからメールが送られてきた
この場合、会員登録を行っていたサイト業者が「個人情報」を「漏えい」している可能性も考えられます。
大手企業は「顧客情報」を膨大に持っているので、一つの「情報漏えい」でも見過ごすことができないとも言えます。
一つの「情報漏えい」が命取りにもつながりえないのです。
では、「情報漏えい」はどの様に発生していくのでしょうか。
「情報漏えい」を細かくひもといていきましょう。
『情報漏えい』の種類はケースがあります。
【1.故意による情報漏えい】
これは言葉の通り、内部の人間が故意に外部に情報を持ち出すものです。
内部の人間が外部の業者に「個人情報」を売買したりする悪意があるものです。
ケースによってはまちまちですが、被害金額は「何億円」を超えるものになります。
「企業」としての「責任問題」も問われますし、「イメージダウン」にもつながります。
中には何年も被害金額を企業が払い続けることも少なくありません。
個人としては、「罰金」だけではなく「懲戒解雇処分」を受ける場合もあります。
軽い気持ちで起こしたものが、一生涯を棒に振る場合も多々あります。
「企業」としては、「情報セキュリティハンドブック」などを利用して企業内で「情報漏えい」の恐ろしさを
共有しないとこのようなケースは出てくるのではないでしょうか。
【2.外部不正アクセス】
こちらは自社などで使用されている「自社ネットワークサービス」の「個人情報漏えい」です。
「ハッカー」などの通常では知らなくても良い情報に知識を持つ人間が企業の情報を悪意を持って
壊したり、盗んだりすることです。
「ハッカー」は自身のパソコンを使い、企業などのネットワークにつないで情報を盗んだり不要な情報を送りつけて
ネットワークを壊したりすることを指します。
「ハッカー」たちは、ネットワークのサーバーの「脆弱性」を狙ったりするのが主な手法です。
※「脆弱性」とは、コンピュータネットワークにおける品質や安全性の欠如しているものです。
「バグ」や「欠陥」があるため、「不正アクセス」や「ウィルス」に感染しやすい恐れがある状態を指します。
最悪の場合、「脆弱性」を持つ企業が「不正アクセス」をされるとその企業の情報か「脆弱性」のある他の企業まで「不正アクセス」されてしまい
「情報漏えい」が拡散される可能性もあります。
「不正アクセス」の被害額は、「何兆円」とも言われています。
「企業」としては被害者でありますが、「情報漏えい」してしまっている非常に残念なケースが多いです。
この場合の対策としては、「セキュリティの強化」が課題となります。
自社で行える対策としては、
サーバーで利用出来る情報を確認しておく
・不正アクセスをされないために「不正侵入」した際にアラートを鳴らす
・データを通信する際には「暗号化」をする
ソフトウェアの更新
自社で使用しているソフトウェアの更新をチェックし、「脆弱性」から攻撃されないようにする。
サーバーだけを更新しておけばよいと思いがちですが、自身が使っているパソコンからも攻撃をされて
「情報漏えい」につながるケースも報告されています。
アップデートはマメにチェックする癖を社員間でつけるのも、「情報漏えい」を防ぐ一つでもあります。
セキュリティ担当者をつける
「不正アクセス」は色々なところから侵入するケースがほとんどです。
「ハッカー」等の高度な知識を持った人間から
「情報」を守るのには「セキュリティ担当者」を専属でおくというのも効果的です。
「プログラミング言語」を把握していたり「サーバー」の取り扱いができる人間を配置することで、
自社のサイトを守ることができます。
この様に「状態漏えい」のケースは、「故意」によるもの「不正アクセス」によるものと
さまざまあります。
最も多いのは意外にも「ヒューマンエラー」です。
「ヒューマンエラー」つまり「人的な要因」から「情報漏えい」につながっていることが多いのです。
「ヒューマンエラー」から引き起こす「情報漏えい」とは一体どういったものなのでしょうか?
「ケース」を確認しながら見ていきましょう。
ヒューマンエラーによる流出のケース
1)「操作ミス」
通信手段の操作ミスも「情報漏えい」の一つです。
[ケース]
例えば、A社に情報ファイルをメールで送信するはずがB社に送ってしまったというケース。
メール送信は、よく行うケースで非常によくあることではないでしょうか。
見直し等することで「情報漏えい」は防げたケースでもあります。
2)「遺失・置き忘れ」
「情報」自体をどこかの場所で無くしてしまうまたは置き忘れてしまうことも「情報漏えい」の一つと言えます。
こちらのケースもよくあり得ることだと思います。
[ケース]
データを外部に持ち出す機会において、
「情報」を無くしてしまったりすることは絶対なくさなければならないですがあり得るケースとも言えます。
3)「情報管理ミス」
情報管理におけるミスも「情報漏えい」につながります。
[ケース]
例えば、書類を保管したり、ある期間が来たら破棄したりするなどのルールを徹底しているにも関わらずに
破棄してしまったり保管していなかったりなど「情報管理」がずさんになったりなどで
「情報漏えい」するケースもあります。
ヒューマンエラーを防ぐには?
では、どのようにすれば「ヒューマンエラー」を防ぐことができるのでしょうか。
先程のケースを踏まえながら、解説していきましょう。
1)送信の際の操作ミス
[メール送信:社員ひとり一人の対策]
・送信前に添付ファイルの確認
・数分おいてから、「To」「Cc」「Bcc」の再確認
・自身だけではなく、他社員の目でも再確認
・報告のために直属の上司に「Cc」「Bcc」の徹底
[メール送信:企業としての対策]
・個人情報を含むメール送受信を禁止
・メールの暗号化
・誤送信対策のためのシステムやサービスの徹底
■FAX送信
[FAX送信:社員ひとり一人の対策]
・送信時に複数の人数での二重チェックを徹底
[FAX送信:企業としての対策]
・短縮ダイヤルの徹底
・使用できる人数を限り、権限に制限をかける
これらのことを徹底し義務付けることで100%とは言えませんが、
発生頻度を下げることにはつながります。
2)外部に持ち出して紛失
このケースは持ち出す前、持ち出し後を管理することで発生率を防ぐことができます。
[持ち出す前]
・簡単にデータを外部に持ち出さないようにする
これが徹底できれば、事前にリスクヘッジすることも出来ますし、
端末自体の盗難なども管理することが可能になります。
[持ち出し後]
・どうしても持ち出ししたい場合には、外部にもれないように端末のデータ自体を暗号化し
「情報漏えい」のリスクを未然に防ぐ対策が必要とされています。
故意ではなくても、ちょっとした「ミス」によっても「個人情報の漏えい」をしてしまう可能性があります。
日頃から「情報漏えい」の「意識」を持っていることが一番だと思います。
「システム」で「セキュリティ」を保つのも重要ですが、「ヒト」への配慮も必要になります。
「社員教育」の一貫として「情報漏えい」を取り入れたりすることで認識のズレをなくすことにもつながります。
共有内容として下記になるかと思います。
【共有内容】
・データ送受信はミスが起きやすいので、十分に注意を払う
・外出先の会話の中でも「情報漏えい」の情報を含む可能性があるので、注意をする
・「情報漏えい」の大半は、「ヒト」が関連する
・「情報漏えい」の社会的制裁、企業への被害、個人への制裁を受けることをきちんと認識する
まとめ
1.「情報漏えい」には「故意による情報漏えい」「外部不正アクセス」「ヒューマンエラー」に原因がある
2.「ヒューマンエラー」による「情報漏えい」のケースが多い
3.「ヒューマンエラー」を軽減させるには「社員ひとり一人」「企業の対策」が必要になる
4.「情報漏えい」の意識を常日頃から持つことが最大の効果がある
Web担当者にも、この様な「知識」や「ケース」を学んでいく必要性が高いと言えます。
これを機に、改めて「情報漏えい」を見なすのも良いかも知れませんね!
次回も「情報漏えい」ともつながる「Pマーク」についてお話させて頂ければと思います。
ぜひ、次回もご期待くださいね!!
ご相談お待ちしております お気軽にお問い合わせください
03-5847-1281 03-5847-1281
株式会社シフト システム事業部
平日 9:30~18:00
