情報漏洩対策ソフトをご検討のみなさまへ

08/01/11

「情報漏洩対策の必要性は? チェックポイント」

「最低限の情報漏洩対策はしているつもりだが、自社で必要な情報セキュリティはどの程度なのだろう?」と思われませんか?あなたの会社では、情報漏洩対策の必要性がどの程度なのか、一度チェックしてみましょう。

指標

情報漏洩対策は、どの会社も同じレベルのものが必要というわけではありません。建物の大きさによって必要な耐震構造が異なるように、情報セキュリティの必要性も、異なります。情報セキュリティの必要性を考える上では、次の3つを考慮すると良いでしょう。

  • 扱う情報の範囲
  • 社内および取引先の人の信頼関係
  • 許容できるリスクの範囲

それでは、以下に順に見ていきましょう。

扱う情報の範囲

会社によって、扱う情報は異なります。個人情報を大量に扱うところもあれば、個人情報は従業員のものだけという会社もあるでしょう。扱う個人情報も、クレジットカード情報や病歴などのプライベートな内容が含まれる場合もあれば、メールアドレスと名前だけという場合もあります。個人情報保護法が施行されたため、個人情報関係の報道が多いのですが、それ以外にも、軍事情報などの機密情報から経営情報まで、会社が持つ情報にはとても幅広いものです。

まずは、重要な情報がどれだけあるか、洗い出してみましょう。代表的な項目を以下に紹介しましょう。

  • 顧客情報。個人情報だけでなく、企業間取引先について持っている情報全て。
  • 従業員情報。
  • 株などの取引情報。
  • 製薬メーカーなど技術力重視のメーカーで特に重要な技術情報。
  • 経理や、コンサルタント業務で扱う、経営情報。

洗い出したら、次に、各情報が漏洩した場合、どうなるか、想像してみてください。どんなことを考えるか、いくつか例を挙げましょう。

会社の評判のみに影響するもの。二次被害が発生するもの。損害賠償が要求されるもの。利益に影響するもの。取引が違法になってしまうもの。法律に違反し罰則があるもの。

いかがでしょうか?考えると、意外なほど重要な情報があるのに気が付くでしょう。会社の価値は、漏洩したときに影響の大きい価値の裏返しです。会社の情報資産のたな卸しを兼ねて、じっくり確認してみてください。

人の信頼関係

情報漏洩が発生する危険性がどれだけあるかは、その会社に関係する人で決まるといって良いでしょう。
情報漏洩対策ソフトは、この人の弱い部分を補強するものです。

  • 従業員の入れ替わりが少ない。リストラなどを行っていない。
  • 正規社員と比較し、契約社員(派遣社員)の比率が低い。
  • 孫受けや外注などの、業務提携会社が少ない。
  • 会社(部門)の人員規模が小さい。
  • 社員の情報セキュリティレベルが高い( 社員教育の程度 )( パソコンへの精通度合い )
  • 給与水準が高い。
  • 会社に対する忠誠心( プライベートでの付き合いの深さ )が高い。
  • 重要情報に触れる人の人数が少ない。
  • 情報システム部門の全体に占める比率が大きい。

いかがでしょうか、ほとんどにチェックが入るようなら、比較的 情報セキュリティに強い組織といえます。

許容できるリスク

人が情報を扱う限り、情報漏洩を完全になくすことはできません。完全に出入り禁止にして閉じ込め、外部とのやり取りを出来なくするのなら別ですが、それでは犯罪になってしまいます。そこで、情報漏洩が発生した場合の影響と、どの程度のリスクまで許容できるかを考えておきましょう。

  • 大企業やブランドへの依存が大きい、信用を重視する会社か。
  • 公共性など、安全を重視するところか。
  • 過去に流出事故や紛失/盗難の経験があるか。

大企業やブランドで存続しているような企業にとって、信用を失うことは、言うまでもないでしょう。また、官公庁のように公共性の高いところでは、建物で耐震性能が要求されるのと同様、セキュリティも高いものが要求されます。仏の顔も3度まで、流出事故を繰り返すと、初回とは違った尺度で測られてしまうので、避けるべきです。

全体として

いかがでしょうか、上記3つの各項目で必要性がないと判断されるような結果になったでしょうか?各項目は大きな柱です。弱い要素があれば、その程度に応じた情報漏洩対策を施しましょう。必要性に合わせた対策ができていなければ、漏洩事故で大きな被害を受けるのは当然の結果ということになります。運悪く大きな事故が起きたのではなく、今まで何もなかったのが運が良かっただけなのです。今も、情報漏洩は起きています。放置することなく、今すぐ対策を始めましょう。