ここでは個人情報の漏洩を防ぐ対策として、メール送信と端末管理について説明します。既に「中小企業が最初にすべき、個人情報漏洩を防ぐ5つの対策」で、中小企業の皆様が真っ先に対応してほしい情報漏洩対策を説明していますが、今回説明するメール送信・端末管理はとても重要な対策となります。ぜひ補完的に対応していただきますよう、よろしくお願いします。
目次
- 対策1: メールアドレスは業務用と私用で使い分ける
- 対策2: メール送信前のチェックリストを作成する
- 対策3: 宛先のオートコンプリート機能を無効化する
- 対策4: 送信取消し機能のあるメーラーを使う
- 対策5: 上司やリーダーの承認機能を活用する
- 対策6: 送信先チェックボックス機能を活用する
- 対策7: 指定時刻でファイルを自動削除する機能を活用する
- — ▲ メール対策 ▲ —
- — ▼ その他対策 ▼—
- 対策 8: 情報端末、記憶媒体の管理ルールを定める
- 対策 9: 社内情報へアクセス/利用するルールを定める
- 対策10: データや記憶媒体の廃棄ルールを定める
- 対策11: 情報セキュリティを意識した行動ルールを定める
- 対策12: 情報セキュリティの教育活動を行う
- まとめ : 人為ミスによる個人情報の漏洩を防ぐには?
メール対策1:メールアドレスは業務用と私用で使い分ける
個人情報保護を確保するために、厳格に実施すべき対策と言えます。基本的なことになりますが、業務用と私用を分けることで、情報の取り違えを防ぎ、担当者のセキュリティ意識が向上するようになります。
メール対策2:メール送信前のチェックリストを作成する
メール送信前のチェック項目をリスト化し、それをチェックすることで誤送信を防ぐようにします。特に次の3項目が重要です。
1.TO / CC / BCC の設定は正しいか?
BCCに設定すべきアドレスをCCに設定してしまい、個人情報が漏洩するケースは非常に多いです。多人数に送る時は必ず TO / CC / BCC の設定が正しいか、確認するようにします。
2.添付ファイルは正しいか?
誤ったファイルを添付して、個人情報が漏洩するケースも多いです。添付ファイルは、添付時にファイル名を確認する、もしくは実際に送信前に必ず開いて確認するようにします。
3.リンク先URLは正しいか?
開示すべきでないURLが本文に記載され、個人情報が漏洩するケースもあります。リンク先URLが適切に設定されているか、必ず送信前にクリックして確認するようにしてください。
4.送信先の会社名、氏名等、固有名詞
5.日付
6.金額の数字の桁
上記3点は必ずしも、個人情報の漏洩に結びつくものではありませんが、記載ミスによって送信者の信用が問われる場合があり得ますので、チェックリストに加えほしい項目です。
メール対策3:宛先のオートコンプリート機能を無効化する
宛先のオートコンプリート機能とは、メールアドレスや名前を入力する際に自動的に補完する機能ですが、気づかずに間違った宛先にメールを送信してしまう危険があります。
特に、慣れ親しんだ宛先を指定する場面で、誤って個人情報を含むメールを外部の第三者に送信してしまう事故が起こり得ます。この機能を無効化することで、担当者は宛先を慎重に入力し、情報の取り違えや送信ミスを減らすことができます。
メール対策4:送信取消し機能のあるメーラーを使う
送信取り消し機能は、メールの送信後一定時間内であれば、送信を取り消すことができる機能です。誤って宛先を間違えたり、添付ファイルを忘れたりしても、誤送信を未然に防ぐことができます。
個人情報の漏洩対策として有効な機能ではありますが、取り消し期限を過ぎると取り消しできないため、これだけに頼ることは危険です。他の方法と併用して対策をとるようにしてください。
メール対策5:上司やリーダーの承認機能を活用する
承認機能のあるメーラーでは、メール内容を上司にプレビューしてもらい、問題なしと判断された場合にメールを送信することができます。これにより誤送信のリスクを減らし、情報セキュリティへの意識を高めることができます。
メール対策6:送信先チェックボックス機能を活用する
送信先チェックボックス機能とは、メール送信時に特定の宛先を選択するチェックボックスが表示される機能です。宛先フィールドに複数のメールアドレスを入力すると、各宛先の横に小さなチェックボックスが表示され、送信先を選択・解除できるようになります。
チェックボックスを選択する必要があるので、メール送信時のヒューマンエラーを減らし、個人情報の漏洩対策として活用することができます。
メール対策7:指定時刻でファイルを自動削除する機能を活用する
送信されてきたファイルを、指定時刻がくると自動削除する機能をもつソフト(弊社トランセーファー BASIC)もあります。
回収が必要な書類をメール添付などで送る場合に、個人情報の漏洩防止策として非常に役立つものです。自動削除だけでなく、閲覧できる端末を限定する機能もあるので、守秘性の高い書類を添付するのに適しています。
ほかにも、弊社 トランセーファー BASIC は、ファイルの暗号化と利用制御(閲覧限定)で、社内外へ配布したファイルの不正利用を防止できます。PCにインストールするだけで、誰でもすぐ使えます。
対策8:情報端末、記憶媒体の管理ルールを定める
- 情報端末(ノートPC、スマホ等)や記憶媒体(USBメモリ等)の不要な持出し・持込みを禁止する。
- 持ち出す際にはデータ暗号化や端末ロックなどの対策を施す。
- 情報端末から離れる場合は、必ずロックをかける。
- 場合によってはセキュリティーケーブルを利用し、端末を机や椅子に固定する。
- 重要データが入ったシステムは、アクセス制限をかけておく。
- 端末にロケーションサービスを設定し、紛失時に追跡できるようにしておく。
このように、情報端末や記憶媒体の管理方法をルール化することで、人為ミスによる個人情報の漏洩を防ぐことができます。
対策9:社内情報へアクセス/利用するルールを定める
- 私有のパソコンを社内ネットワークに繋げない。
- 私有のメモリを業務用パソコンに使わない。
- 許可なきオンラインストレージに情報を保存しない。
- ファイル共有ソフトの個人利用は控える。
- BYOD(Bring Your Own Device)ポリシーを策定し、私有端末の社内ネットワークへの接続条件やセキュリティ対策を明確に定める。
このように、社内情報へアクセス/利用する際の管理ルールを定めることで、人為ミスによる個人情報の漏洩を防ぐことができます。
対策10:データや記憶媒体の廃棄ルールを定める
- 個人情報を含む管理データの範囲を明確にする。
- 情報端末のデータドライブは、物理的に破壊して廃棄する。
- メモリの廃棄はデータを完全に削除し、復元不可能な状態で行う。
- 不要となったデータは定期的に廃棄する。
このようにデータ媒体の廃棄方法をルール化することで、人為ミスによる個人情報の漏洩を防ぐことができます。
対策11:情報セキュリティを意識した行動ルールを定める
- 安全の確認できないWebサイトに、個人情報を入力しない。
- 業務に関することを、SNSに書き込まない。
- ログインIDやパスワードを、人から見られる場所に書かない。
- 人が大勢いる場所で、業務の話をしない。
- デバイスや紙の書類が入った鞄を、居酒屋などに持っていかない。
このような内容を含め、情報セキュリティを意識した行動規範を定めることで、人為ミスによる個人情報の漏洩を防ぐことができます。
対策12:情報セキュリティの教育活動
ここまでメールの誤送信に対する対策や、端末や記憶媒体の管理方法について説明してきましたが、最も重要なことはこれらのルールを実行できるよう、各自が情報セキュリティの意識を高めることです。
そういう意味で定期的な教育活動こそ、最も重要な対策になると言っても過言ではないでしょう。それは経営層から担当者への一方的な情報の流れではなく、各担当者が経営層に情報を上げられるよう、報告しやすい環境をつくることも重要になります。また入社時には守秘義務に関する書面を取り交わすことも、忘れないようにしてください。
このような1つ1つの啓蒙活動を通じて、人為ミスによる個人情報の漏洩は防ぐことができます。
まとめ: 人為ミスによる個人情報の漏洩を防ぐには?
個人情報の漏洩原因は、内部の人間が意図的に行う内部不正、第3者による外部攻撃、そして不注意で生まれる人為ミスと、大きく3つに分かれます。今回ご説明した「メール誤送信への対策」と「端末や記憶媒体の管理方法」は、人為ミスを防ぐ対策になります。
人為ミスによる情報漏洩はどれだけ対策を施しても、結局各自の情報セキュリティ意識が高まらないと、実効性あるものになりません。特に情報セキュリティは日常業務の利便性を犠牲にしますので、利便性とセキュリティのバランスをとることがとても重要です。
本文でもご説明しましたが、日常業務の利便性を損なわず、セキュリティを担保するサービスも多々ありますので、ご参考になさってください。
・利便性を妨げず情報漏洩を防ぐなら、コプリガード
・ブラウザーを閲覧するだけに、パイレーツバスター
・指定時刻でファイルを自動削除、トランセーファー
以上となります。
お読みいただき、ありがとうございました。
※本記事の掲載事例は現時点での当社調べの内容です。
本記事の作成者:石川
所属:株式会社ティエスエスリンク / 営業部
情報漏洩対策のポイントを、最新の事例をもとに解説します。漏洩した場合、損害額はどれ位なのか? 漏洩の原因は何か? 企業はどのような対策を講じるべきか? さらには万一漏洩した場合の対応手順まで、一気に解説します。
