今や個人情報漏洩を防ぐ対策は、企業活動に必須となりましたが、中小企業は情報セキュリティの専門部署があるわけではありません。掛け持ちする他の業務に忙殺され、担当者も情報セキュリティまで目が行き届かない、こういうことも少なくないのではないでしょうか。
本ページではこのような事情を踏まえ、どんな中小企業でもこれだけはすぐに実行してほしい、最低限の対策を5つご説明します。企業規模を問わず必須の内容となりますので、個人情報漏洩を防ぐ対策として、お役立ていただきますようお願いします。
目次
- 管理すべき個人情報とは?
- 個人情報が漏洩すると、どうなるのか?
- 対策1:OS・ソフトを最新版にアップグレードする
- 対策2:ウィルス対策ソフトを導入する
- 対策3:パスワードを強化する
- 対策4:共有設定を見直す
- 対策5:漏洩事例・攻撃手口を学ぶ
本ページの内容は、IPA(独立行政法人情報処理推進機構)がPDFにて提供している「中小企業の情報セキュリティ対策ガイドライン」の付録1「情報セキュリティ5か条」の内容を元に作成しています。
(参考)IPA(独立行政法人情報処理推進機構)|中小企業の情報セキュリティ対策ガイドライン
管理すべき個人情報とは?
管理すべき個人情報とは次のような情報になります。どんな企業にも必ずありますので、確認してください。
1.取引先
- 氏名、住所、電話番号、メールアドレス等、個人を特定できる情報。
- 取引履歴、取引金額、支払情報(銀行口座、クレジットカード情報)など、取引に関する情報。
2.社員
- 氏名、住所、電話番号、メールアドレス、役職等、個人を特定できる情報。
- 勤務時間、給与、給与振込先(銀行口座)などの給与情報。
- 社会保険番号、医療記録等の健康状態に関する情報。
3.その他
- 履歴書や職務経歴書に記載された採用情報、人事上の評価を含む雇用管理情報。
- 医療機関の場合は、患者さんの看護記録、カルテ、検査記録などの診療情報。
※付記
なお、個人情報ではありませんが、設計図、特許情報、製造プロセスの詳細、部材の調達先、取引先から取扱注意として預かった情報などは、漏洩防止の対象にすべき機密情報になります。
個人情報が漏洩すると、どうなるのか?
個人情報が漏洩すると、企業は多大な損害を負う危険があります。仮に顧客の個人情報が漏洩した場合、顧客からの信用を失い、漏洩した個人情報が金融データであれば、それが不正利用されることで、被害者に対する補償責任を負うことになるでしょう。
また法的な問題は、被害者からの訴訟リスクに留まらず、法律違反による罰金や規則違反による行政罰など、複層的なダメージに発展する場合もあります。さらに社会的には企業イメージが悪化し、それは社員の士気低下を招くリスクがあります。
このように個人情報の漏洩によって受ける、企業のダメージは予測不能です。それは想像以上に大きくなる危険がありますので、下記5項目を徹底していただくようお願いします。
対策1:OS・ソフトを最新版にアップデートする
OSやソフトウェアを最新版にアップデートすることは、極めて重要な対策です。なぜなら、旧バージョンにはプログラムの脆弱性があり得るからです。最新のアップデートにはセキュリティパッチが含まれ、攻撃リスクを低減し、不正アクセスへの対処を強化することができます。
具体的には次のソフトを、常に最新状態に保ってください。
1.オペレーティングシステム
WindowsやMac OSなどのメジャーなOSは、定期的なアップデートが提供されます。必ず最新版にアップデートするようにしてください。
2.ウェブブラウザ
ウェブブラウザ(例: Google Chrome、Mozilla Firefox、Microsoft Edgeなど)も定期的なアップデートが提供されます。最新のバージョンにアップデートすることで、ウェブ上の脆弱性や不正なスクリプトからの攻撃リスクを低減できます。
3.オフィスソフトウェア
Microsoft OfficeやGoogle Workspaceなどのオフィスソフトウェアも、重要なアップデート対象です。これらのソフトウェアは、個人情報を含む文書やスプレッドシートを取り扱うため、最新のセキュリティパッチや機能改善のアップデートを、適用することが重要です。
4.PDFリーダーなどの汎用ソフトウェア
Adobe Acrobatや他の一般的なソフトウェアも、個人情報保護の観点から大切です。最新バージョンにアップデートすることで、セキュリティの脆弱性を修正できます。
5.ルーターのファームウェア
ルーターとは、インターネットにおける情報の通り道を管理するデバイスです。そのデバイスを制御するソフトウェア(ファームウェア)に、バグやセキュリティ上の問題があると、そこから個人情報を盗まれるリスクがあります。常に最新のファームウェアにアップデートすることで、バグや問題が修正され、漏洩を防止することができます。
対策2:ウィルス対策ソフトを導入する
ウィルス対策ソフトの導入は、マルウェアやウィルスを検出し、不正アクセスやデータの破壊・盗難など、企業の個人情報漏洩を防ぐ、極めて重要な対策です。ポイントは2点あります。
1.ウィルス定義ファイルを自動更新すること
ウィルス定義ファイルは、ソフトウェアが使用するデータベースであり、検出すべきウィルスやマルウェアの特徴を定義しています。定義ファイルの自動更新は、日々進化する新種のウィルスや、マルウェア情報を最新の状態に保つために不可欠です。
2.統合型のウィルス対策ソフトを導入すること
統合型のウィルス対策ソフトは、以下に説明するように様々な機能を備えています。
- マルウェア検出: コンピュータやネットワーク上の悪意のあるソフトウェアやコードを検出する機能
- リアルタイム保護: リアルタイムでコンピュータやネットワークを監視し、脅威を検知し即座に対策を講じる機能
- ファイアウォール: 外部からの不正アクセスをブロックし、ネットワークやシステムを保護する機能
- スパムフィルタリング: 不要なスパムメールを検出してブロックする機能
- ウェブフィルタリング: ウェブサイトへのアクセスを監視し、危険なサイトや有害なコンテンツへのアクセスを制限する機能
- データ暗号化: 重要なデータや通信を暗号化して保護する機能
- デバイス制御: デバイス(USB、外部ストレージなど)へのアクセスを制限し、情報漏洩リスクを軽減する機能
- 脆弱性スキャン: システムやソフトウェアの脆弱性をスキャンし、修正やパッチの提案を行う機能
- ネットワーク監視: ネットワークトラフィックを監視し、不審なアクティビティや攻撃を検出する機能
- レポートと監査: セキュリティイベントや脅威のレポートを作成し、セキュリティ監査やトラブルシューティングに活用する機能
このように統合型ウィルス対策ソフトウェアは、個々の製品によって機能は異なるものの、多層的なセキュリティを提供し、個人情報漏洩を防ぐ重要な対策になります。
対策3:パスワードを強化する
パスワードの強化は個人情報漏洩の対策として、簡単ですがとても効果的なものです。ポイントは2点あります。
1.「長く」「複雑に」「推測できない」パスワード
- 長く: パスワードはできるだけ長くすることが望ましいです。一般的には、8文字以上の長さが推奨されます。より長いパスワードは、推測や総当たり攻撃に対してより耐性があります。
- 複雑に: パスワードには異なる文字の種類を組み合わせることが重要です。大文字と小文字のアルファベット、数字、特殊文字などを含めることが望ましいです。
- 推測できない: 一部の簡単に推測できるパスワードは、攻撃者によって頻繁に試される可能性があります。一般的な単語や連続した数字(例: “12345678”や”abcdefg”)などは避けるべきです。パスワードマネージャー等で管理することも1つの対策になります。
2.VPNなどの重要サービスは別パスワードにする
個人情報の漏洩を防止する対策として、以下のようなサービスでは独自IDとパスワードを使用することが重要です。
- メールアカウント: メールアカウントは他のオンラインサービスとの連携に、使用されることがあります。そのためパスワードの再設定や、他のアカウントにアクセスするためのリンクが届くことがあり、そこでのパスワードは他のサービスとは異なる、強力なパスワードを使用することが重要です。
- 企業ネットワークへのアクセス: 企業の内部ネットワークへのアクセスやVPN(仮想専用線)接続などは、企業の機密情報や従業員の個人情報に関わる可能性があります。そのため、特に従業員専用のアクセス権限が必要な場合には、独自のIDとパスワードを使用する必要があります。
※VPN(Virtual Private Network: 仮想専用線)とは、インターネット回線や通信事業者のネットワーク上に作られる仮想的な専用回線です。本来の専用回線に比べて、安くかつ安全にデータ通信を行える方法になります。
- 企業のクラウドサービス: 企業が利用するクラウドサービス(例: Google Workspace、Microsoft 365など)には、従業員のコラボレーションや文書管理などが含まれます。これらのサービスでは、企業の重要な文書が保存される可能性がありますので、独自のIDとパスワードを使用することが重要です。
- 企業の顧客管理システム: 企業が顧客情報を管理するための顧客管理システムやCRM(Customer Relationship Management)システムには、顧客の個人情報や取引履歴が含まれます。これらのシステムへのアクセスには、独自のIDとパスワードを使用することが重要です。
- 企業のセキュリティシステム: 企業が使用するセキュリティシステムや監視システムには、セキュリティカメラの映像やアクセスログなどの重要な情報が含まれます。これらのシステムへのアクセスには、独自のIDとパスワードを使用することが重要です。
以上5つほど独自パスワードを使うべきサービスを例示しましたが、これらは企業の業種や利用状況によっても変わるため、自社の事情に応じて判断するようにしてください。
対策4:共有設定を見直す
共有設定の見直しは、個人情報漏洩を防ぐ対策としてとても重要です。ネットワークサービスに留まらず、ネットワークで繋がったデバイス機器まで、以下を参考に見直すようにしてください。また従業員の異動や退職時には、速やかに変更することが必要です。
1.ネットワーク共有ドライブ:
ネットワーク共有ドライブは、企業内でファイルや文書を共有するために使用されます。個人情報を含むファイルのアクセス権限を限定し、必要な部署や担当者のみがアクセスできるようにしてください。
2.プリンター/複合機:
プリンターや複合機は、印刷やスキャンなどの機能を提供します。社外の人が利用する場合にアクセスを制限し、個人情報を含む文書のプリントやスキャンに関しては、特定の従業員のみが操作できるようにする必要があります。
3.業務用ノートPC:
テレワークで使用するパソコンは他人と共有しないようにし、やむを得ずフリーWiFiを利用する時は、パソコンのファイル共有をオフにします。
4.モバイルデバイス:
スマートフォンやタブレットなどのモバイルデバイスは、個人情報へのアクセスが可能です。モバイルデバイスから業務データへアクセスする場合は、適切に制限する必要があります。
5.ビデオ会議システム:
ビデオ会議システムは、オンライン会議やコミュニケーションに使用されます。個人情報を共有する場合には、会議の参加者を制限し、関係者以外がアクセスできないようにする必要があります。
対策5:漏洩事例・攻撃手口を学ぶ
個人情報を狙った手口は、日々変化しています。政府機関や民間団体が発表している事例や手口を参考に、重要なものは社内共有するなど対策をとるようにしてください。ここでは3つの情報ソースをご案内します。
1.IPA(情報処理推進機構)がリリースする「重要なセキュリティ情報」をチェックし、重要なものは社内共有する
(参考)IPA(独立行政法人情報処理推進機構)|重要なセキュリティ情報
”「重要なセキュリティ情報」とは、放っておくと不正アクセスやデータが盗まれるなどの危険性が高いセキュリティ上の問題と対策についてお伝えするものです。発信情報から、ご自身のPCやシステムへの影響を判断の上、速やかな対策を心がけてください。”
※抜粋引用:IPA(独立政法人情報処理推進機構)|重要なセキュリティ情報とは
2.利用しているクラウドベンダーやソフトウェア企業がリリースする注意喚起を、社内で共有し必要に応じて対策をする
3.当社サイトも最新の個人情報漏洩の事例を、下記ページにて解説していますので、ご参考にしてください
(参考)ティエスエスリンク|情報漏洩の事例【2023年上半期】
2023年1月から5月に公表された情報漏洩の事例について、民間企業、医療機関、教育機関、公的機関に分け、代表的なものをまとめました。小規模な事案を含めれば、今や情報漏洩は毎日のように起きています。他人事では済まない情報漏洩のリスクに備えるため、発生原因のみならず発生後の対応も含め、参考になる事例を整理しました。
以上となります。
お読みいただき、ありがとうございました。
※本記事の掲載事例は現時点での当社調べの内容です。
本記事の作成者:石川
所属:株式会社ティエスエスリンク / 営業部
情報漏洩対策のポイントを、最新の事例をもとに解説します。漏洩した場合、損害額はどれ位なのか? 漏洩の原因は何か? 企業はどのような対策を講じるべきか? さらには万一漏洩した場合の対応手順まで、一気に解説します。
