情報漏洩のセキュリティ対策として、企業が最初にすべきことは何か? これが本稿のテーマです。クラウドサービスやリモートワークの普及にともない、情報漏洩のリスクは年々高まっています。それは一部の企業に留まらず、中小を含むあらゆる企業に当てはまる話です。情報漏洩のセキュリティ対策は、まさに現代の企業が直面する喫緊の経営課題となりました。本稿では少しでも皆様のお役に立てるよう、最初にすべきことから、1つ1つ丁寧に説明いたしました。
目次
対象情報の明確化
情報漏洩のセキュリティ対策として最初にすべきは、管理対象となる情報を明確にすることです。管理対象が曖昧なままでは、何も始まらないと言って良いでしょう。自社にある情報をその重要性から分類し、何を保護すべきか明確にします。
まずは個人情報保護法が定める「個人情報」が管理対象です。ここでいう「個人情報」とは、特定の個人を識別できる情報であり、具体的には次のような情報になります。
1.取引先情報
氏名、住所、電話番号、メールアドレスなど、個人を特定できる情報。加えて取引履歴、取引金額、支払情報(銀行口座、クレジットカード情報)など、取引に関する情報も保護の対象となります。また医療機関の場合であれば、患者さんの看護記録、カルテ、検査記録などの診療情報が対象になります。
2.社員情報
氏名、住所、電話番号、メールアドレス、役職など、個人を特定できる情報。さらに勤務時間、給与、給与振込先(銀行口座)などの給与情報をはじめ、社会保険番号、医療記録などの健康状態に関する情報も保護対象です。また採用に関する履歴書や職務経歴書、人事上の評価を含む雇用管理情報も対象になります。
3.機密情報
機密情報は個人情報保護法が定める「個人情報」ではありませんが、漏洩を防ぐべき重要情報です。当たり前のことですが、機密情報も管理対象になります。何が機密情報に該当するかは、企業の業態に左右される話ですが、具体例を挙げれば次のようになります。
・製品開発:製品の設計図、ソースコード、製造プロセスなど。
・経営戦略:企業の長期的目標、目標達成の手段、市場分析結果、競合他社への戦略など。
・営業情報:製品サービスの販売価格、決定基準、割引政策など。
・財務情報:企業の収益、損失、資産、負債など。
以上、ここでは「取引先情報」「社員情報」「機密情報」の3項目を掲げましたが、まずは自社にある情報を整理し、何を管理対象にするか明確にしてください。
対象情報の整理に役立つ記入シート
→ 情報漏洩セキュリティ対策管理シート(PDF)ダウンロード
就業規則など、社内ルールに反映
管理対象に定めた情報は、その旨を就業規則などの社内ルールに反映させてください。管理対象となる情報を文書に明記することは、情報漏洩対策として決定的に重要です。なぜなら万一、内部不正によって情報が漏洩した場合、企業は従業員の管理責任を問われます。就業規則などに管理対象となる情報が明記されていなければ、どのような抗弁も成り立たないからです。
2014年、内部不正により進研ゼミの顧客情報290万件が流出したベネッセの事件では、顧客からの裁判に8年かかり、企業が受けた社会的ダメージは計り知れないものがありました。
内部不正による情報漏洩は流出規模が大きく、企業の社会的存続を困難にする場合が少なくありません。このような事態を避けるためにも社内ルールを整備し、研修などを通じ従業員の情報漏洩に対する意識を高めることは、必須のセキュリティ対策になるとご理解ください。
社内ルールへの反映は、就業規則が最低限のものになりますが、必要に応じて次のような契約や規則で補完するようにします。
営業秘密管理規則:
営業秘密を明文化し、その保護について就業規則を補完する役割があります。
競業避止義務契約:
退職後の一定期間、同一業種での就業や事業開始を禁止する契約です。
秘密保持契約:
従業員、取引先、協力会社などの間で、業務上知り得た情報の秘密性を保証する契約です。
技術供与契約:
自社の技術を他社に供与する際、技術の内容と利用権限を明確にする契約です。
誓約書:
部署変更、昇進、新規プロジェクト参加、退職等の場合、個別に誓約書の提出を求めます。
情報セキュリティポリシー:
情報管理の基本方針から実施・運用までを網羅する行動規範です。
なお内部不正による情報漏洩対策の根幹は、適切な処遇と良好な人間関係です。どれほどルールを明文化しても、良好な人間関係が欠落しては、絵に描いた餅になりかねないことをご留意ください。
アクセス権限の決定
管理対象に定めた情報には、誰がどのような形(閲覧・編集・管理など)でアクセスできるのか、権限を明確にする必要があります。アクセス権限の割り振りにあたっては「必要最小限の原則」を適用し、業務遂行に必要最低限のアクセス権限を付与するようにします。全従業員が全ての情報にアクセスできるような設定は、内部不正による情報漏洩のリスクを高めることになりかねません。
※なお先にご紹介した、対象情報の整理に役立つ記入シートには、アクセス権限を記入する欄も設けています。情報の整理に役立ちますので、よろしければご利用ください。
対象情報の整理に役立つ記入シート
→ 情報漏洩セキュリティ対策管理シート(PDF)ダウンロード
管理領域の設定
対象情報が明確になり、アクセス権限が決まれば、次に行うことは管理領域の設定です。どこで情報を管理するか、その場所を定めるということになります。
一般的に言えば、ファイルサーバーの特定フォルダーを管理領域として指定し、そこに上記で定めたアクセス権限を設定します。
クラウドサービスを利用する場合は、管理領域およびアクセス権限の設定はクラウドサービスが提供する機能に制約されますが、オンプレミス(自社サーバーの運用)なら、セキュリティソフトを導入して柔軟な権限設定が可能です。たとえばどのような設定ができるかというと、
・パソコン単位、ログインユーザー単位、部門単位、役職単位などで、柔軟に権限設定できる
・フォルダーを指定するだけで、権限設定できる
・特定のアプリケーションだけを、機能制限できる
・メール添付の禁止、アップロード禁止、コピー&ペーストの制限、画面キャプチャー禁止などできる
・あらゆる漏洩ルートの禁止も、逆に特定機能だけの無効化もできる
・USBメモリー、スマホなどを接続禁止にできる
・逆にサーバー不要で、ローカルPCだけで権限設定できる
などが可能になります。これらは情報漏洩対策ソフト「コプリガード」の機能の一部です。
導入するアプリケーションによって、システムの利便性が大きく変わることをご理解ください。
定期的なアップデート
管理領域を設定したら、次はウィルス対策を含めた日々の運用になります。これから説明する5項目は基本的な内容ですが、非常に重要な事項であるとご理解ください。なぜなら過去の情報漏洩事件の原因を分析すると、その殆どは基本的なアップデートさえしていれば、防げたケースだからです。
1.OS・ソフトを常に最新版にアップグレード
OSやソフトウェアを最新版にアップデートすることは、プログラムの脆弱性を修正し、不正アクセスへの対処を強化する、極めて重要な対策です。対象となる主なプログラムは次のとおりです。
・OS(Windows、Mac OSなど)
・ウェブブラウザー(Chrome、Edgeなど)
・汎用ソフトウェア(Microsoft Office、PDFリーダーなど)
・ネット管理デバイス(ルーターなど)の制御ソフト
2.パスワードの変更と強化
基幹システムのログインパスワードは非常に重要なので、同じパスワードの使いまわしを避け、定期的に変更します。2段階認証や生体認証の導入も有効で、パスワードは長く、複雑で、推測できないものを使います。
3.ウィルス対策ソフトの導入とウィルス定義ファイルの更新
ウィルス対策ソフトを必ず導入し、ウィルス定義ファイルは毎日アップデートするようにします(自動アップデート)。日々進化する新種のウィルスやマルウェア情報を最新の状態に保つため、定義ファイルの自動更新は必須です。
4.データの定期的なバックアップ
仮に自社の情報システムがウィルスに感染した場合、そのシステムは原因究明のため一定期間使用できなくなります。すぐに代替システムを立ち上げるためには、データの定期的なバックアップが不可欠です。
5.アクセス権限の定期的な見直し
組織変更などによりアクセス権限は定期的な見直しが必要です。特に次のような時は、すぐにアップデートしてください。
・従業員の入社、退職
・プロジェクトの開始、終了
・組織変更があった場合
・新しいシステムが導入された場合
メール管理の体制構築
情報漏洩の原因は、ウィルスや内部不正に留まりません。PCの置き忘れやUSBメモリーの紛失など、不注意による情報漏洩は発生件数も多く、中でも特に多いのがメールの配信ミスです。宛先間違い、ファイルの添付ミスなど、発生頻度が高いのでしっかり対策を講じてください。
対策としては以下のようなチェックリストを使い、メールの一斉配信(大量配信)の際は、必ず上司とダブルチェックの上で配信するようにします。
[チェックリスト]
□ 宛先、メールアドレスに間違いはないか?
□ 件名は正しいか? 未入力ではないか?
□ 添付ファイルは正しいか? 添付し忘れていないか?
□ BCC、CCは正しいか?
□ 会社名、役職、氏名に間違いがないか?
□ 敬称(様、御中など)が抜けていないか?
□ 日付は正しいか?
□ 宛名を本文に差し込む場合、データリストに入力不備はないか?
□ 数字、商品名は正しいか?
□ 環境依存文字を使用していないか?
□ 署名の連絡先は正しいか? (住所、電話、メールアドレス、URL)
メール管理のチェックリスト
→ メール管理シート(PDF)ダウンロード
なおメール管理に関しては、メーラーの送信取消し機能を活用するとか、重要ファイルについては指定日時でファイルを自動削除できるソフト(トランセーファー)を活用するなど、各社の事情に応じて工夫できる余地が多々あります。
セキュリティ教育の実施
情報漏洩のセキュリティ対策は、その組織で働く方々の日常行動が基盤になります。そのため研修会などを通じてセキュリティ意識を高めることが非常に重要です。具体的には次のような項目を、習慣化するようにしてください。
・フリーWiFiなど、無償ネットワークには接続しない
・端末や記憶媒体の持ち出しは制限する(届け出るなど)
・社内PCに外部デバイス(USBメモリー、個人用スマホなど)の接続を禁止する
・業務に関係ないSNSやクラウドストレージへのアクセスを禁止する
・業務用PCでの私用メールを禁止する
・離席の際は、スマホやPCに画面ロックをかける
・データや記憶媒体は廃棄ルールに沿って処分する
まとめ: 情報漏洩セキュリティ対策の第一歩
冒頭にも述べた通り、クラウドサービスやリモートワークの広がりで、情報漏洩のリスクはかつてないほど高まっています。お調べいただくと良く分かるのですが、情報漏洩の事件はニュースにならないだけで、実際は大小あわせ毎日のように起きています。情報漏洩のセキュリティ対策は、まさに現代企業が直面する喫緊の経営課題といえるでしょう。これから始める企業の方は、まず管理対象となる情報を整理し、それを文書に反映させてください。すべてはそこから始まりますから。
対象情報の整理に役立つ記入シート
→ 情報漏洩セキュリティ対策管理シート(PDF)ダウンロード
以上となります。
お読みいただき、ありがとうございました。
※本記事の掲載事例は現時点での当社調べの内容です。
本記事の作成者:石川
所属:株式会社ティエスエスリンク / 営業部
組織内部からの情報漏洩には、ウィルスや外部攻撃による情報漏洩とは異なる、独特の問題が発生します。本稿では内部情報漏洩の特徴を3つの事例から考え、効果的な対策をズバリ提示します。
情報漏洩対策のポイントを、最新の事例をもとに解説します。漏洩した場合、損害額はどれ位になるのか? 漏洩の原因は何か? 企業はどのような対策を講じるべきか? さらには万一漏洩した場合の対応手順まで、一気に解説していきます。
