情報漏洩の原因となる人間の不注意や悪意が引き起こすセキュリティの脅威
情報漏えいが発生する原因には、内部と外部の2つに分けられます。
情報漏洩事件における原因の多くは、外部からの不正アクセスなどの外部要因ではなく、
内部の人間によるステムの運用ミス、管理不備などが要因で発生するものが少なくないこと
に、注意する必要があります。
業種や企業の事業内容別に情報漏えいの状況をみてみると、自社がどのような事業を行なって
いるのかを把握し、情報漏えいを考えることが大切です。
例えば、会員登録などをしてサービスするタイプの事業をしている企業では、ウェブサイトの
セキュリティ対策が十分でない場合には、外部から不正アクセスが行なわれて、情報が漏えい
してしまうことがあります。
また、本人認証を不適切な場合には、本人になりすましてアクセスされてしまうこともありま
す。
また、国民にマイナンバーの通知カードを送付したときに、誤送付が発生してマスコミに取り
上げられたことがあったり、図面や伝票を工事現場や顧客先に持参しておこなう事業の企業で
は、図面や伝票の紛失などによって情報漏えいしてしまうことがあります。
結果的に、情報漏えい対策を講じるときには、自社の事業内容を踏まえて、
どのような情報漏えいが発生するリスクがあるのかを、的確に検討することが大切です。
過去の事例をそのまま真似して、情報漏えい対策をおこなうのではなく、自社の場合はいった
いどのようなリスクがあるのかを考える必要があります。
また、自社の業務の大半または一部を外部に委託していることも多くあります。
その場合には、委託先も同様に情報漏えいが発生するリスクを分析する必要があります。
そして、企業のグループでは子会社が親会社とはまったく異なる事業を行なっている場合もあ
るので親会社の視点だけではなく、企業のグループとしての情報漏えい対策を検討する際に
は、子会社の事業内容をしっかり認識することをしなければいけません。
どれだけ大きな情報漏洩事故が発生しても、なくなることのないのは何故?
情報漏えいをなくすことは実際には不可能です。
なぜかといえば、たとえば、情報を社外にもち出さなければ仕事ができない企業の場合には、
従業員が十分に気をつけていても予測不能な事態が発生して帳簿がなくなったりしまうことな
どがあるからです。
また、情報システムは人間が設計し開発するものなので、ヒューマンエラーをゼロにすること
ができません。
人間だからこそ間違いをおかすのです。
情報漏えい発生時の、緊急時対応時のエスカレーションルールの制定、いわゆる「具体的にど
のような場合には上に連絡をあげるのか」を示した指標を作り、
「誰が誰に連絡をするのか」という関係部署への連絡、顧客などへの謝罪、マスコミ対応など
の対策を事前に講じておき、「被害を最小限に抑える」こと、より端的にいえば、「二次被害
を防ぐ」が重要になります。
まとめ
今回は、漏洩えいについて中心についてご説明いたしました。
企業が個人情報の漏洩事故を起こしてしまった際は、まずは「二次被害を防ぐことを最重要の
目標として対応しなければならない」ことをご理解いただけたと思います。
また、情報漏えいに備えた社内体制の整備が重要で、それには、「マニュアル整備」が必要で
すが、完璧なマニュアルは困難なため、「誰が誰に連絡をするのか」、「どのような状況の場
合に誰が意思決定するのか」という2つのポイントを押さえて作成しましょう。
そして、「誰が誰に連絡をするのか」のかという連絡ルートを決めることは、迅速な対応のた
めには重要です。
個人情報の大量漏えいのような事態は、事実関係などを報告・通知していかなければならない
ため、現場において勝手な顧客対応、メディア対応を行わないように指示を徹底しておくこと
も重要です。