情報化が高度に進んだ今日において、最も恐るべき脅威の一つが情報漏洩です。情報漏洩は第三者の意図的な攻撃によって発生するケースもあれば、偶然の事故で発生したり、自社社員によって流出させられたりするケースもあるなど、さまざまなところにリスクが潜んでいます。
この記事では、そんな情報漏洩対策を大企業だけでなくスタートアップ企業も実施すべき理由について、情報漏洩の現状や事故が持つリスクなどに触れながら解説します。
スタートアップ企業を含め、現在の国内における中小企業の情報漏洩は、一体どれくらい発生しているのでしょうか。
2020年12月に日本の中小企業向けに行われた調査によると、調査に回答した4割の企業は実際に情報漏洩の被害を受けていることがわかっています。
参考:https://prtimes.jp/main/html/rd/p/000000011.000037527.html
一般にメディアで取り上げられる情報漏洩事件の多くは、広く知られている大企業のケースがほとんどです。
ただ、メディアに大きく取り上げられていない事件も含めると、実際には今回の調査で明らかになった4割近い数字、あるいはそれ以上の数の中小企業が情報漏洩の被害に遭っていると想像できるでしょう。
回答者の4割が情報漏洩の被害を受けているという調査結果は、かなり深刻な事態であると言えます。これだけ多くの企業が漏洩被害に悩まされてきた要因としては、不十分なセキュリティ対策が大きなウェイトを占めていると考えられます。
上記の調査によると、今回の調査の回答者の8割はセキュリティ対策は十分だと答えていますが、一方で経産省の調べによると、中小企業のセキュリティ対策は大企業に比べ2割程度実用性に欠けるという結果も出ているのが現状です。
実際に必要な対策が現場ではとられていないにも関わらず、企業の意思決定者は「これで十分」と考えているという実態との乖離が、情報漏洩をもたらしている可能性は否定できません。
それでは具体的に、情報漏洩によってスタートアップ企業はどのようなリスクを被ることとなるのでしょうか。ここでは主な4つのリスクについて、理解を深めましょう。
まず、情報漏洩が発覚すると一旦通常業務を停止し、情報流出の被害状況の確認と、さらなる流出の食い止めに向けた作業に注力しなければなりません。業務を続けても安全ということがわかるまで、通常業務を再開することは難しく、十分な人手を確保できない中小企業やスタートアップでは、事態収束と通常業務の同時進行は極めて困難です。
情報漏洩が発生した場合、まずは事態の収束に全力を注ぐ必要がありますが、それと同時に警察へ被害を報告したり、場合によってはプレスリリースを出して事件の発生を公開する必要もあるでしょう。
特にスタートアップ企業の場合は世間からの注目度が高く、情報漏洩があったことを内密にすることは非常に困難であり、意図的に流出を隠した場合、世間の心象はさらに悪くなります。
ただ、情報漏洩が起きた時点でユーザーからの信用をある程度損なうことは覚悟する必要があり、信用を取り戻すための多大なコストを支払わなければなりません。
情報漏洩が第三者によって意図的に引き起こされた場合、流出情報を人質に金銭を要求されるケースもあります。
この場合、流出規模によっては莫大な身代金の支払いを強いられることもあるため、事業継続のための資本の多くを失ってしまうことにもなりかねません。
情報漏洩はさまざまな経路を通じて発生するリスクをはらんでおり、全てのアプローチに対して対策を施し、リスクを最小限に抑える努力が必要です。具体的にどのような経路から情報流出が発生するのか、ここで確認しておきましょう。
最も悪質な被害に発展しやすいのが、マルウェア感染などを通じて意図的に引き起こされるサイバー攻撃です。攻撃者からの不正アクセスによって社内のデータベースが筒抜けとなり、個人情報や会社の機密情報が流出してしまいます。
このような意図的なサイバー攻撃による情報漏洩は、はじめから標的に対して危害を加えたり、身代金を要求したりすることを目的としているため、大きな被害を被ることが予想されます。サイバー攻撃の手口は日々多様化しており、これらのリスクをゼロにすることは極めて困難です。
近年、よくニュースなどで取り上げられているのが、社用PCやスマホ、USBなどを紛失したり盗難されたりしたことで、情報漏洩に発展するパターンです。情報漏洩まではいかなくとも、紛失や盗難にあったことそのものが重大なインシデントであり、社会的な信用を損なうリスクがあります。
これらの経路による情報漏洩は、サイバー攻撃などがもたらすほどの直接被害はありませんが、基本的に従業員のケアレスミスなどに起因するため、会社の信用は大きく損なわれることになるでしょう。
社員によって意図的に情報が持ち出されるケースも、最近よく見られる情報漏洩のルートです。転職先の企業に手土産感覚で機密情報が引き渡され、元社員が高待遇を受けるというケースが確認されています。
これによって被害を受ける情報の多くは、企業が有する高度な機密情報です。自社の特許や強力な競合力を維持するための技術やノウハウが漏れてしまう可能性があり、容易なアクセスや持ち出しを厳格に取り締まらなければなりません。
このようなリスクを回避するため、スタートアップ企業はどのような対策を講じる必要があるのでしょうか。主な情報漏洩対策としては、以下の3つが挙げられます。
まず必要なのは、基本的なセキュリティシステムの構築です。ウイルス対策ソフトを全てのデバイスにインストールし、ファイアウォールを設定し、アクセス権限を細かく設定するなどが求められます。
多くの中小企業では、このセキュリティシステムの構築が遅れているケースも散見されます。最新のセキュリティアップデートも欠かさず行い、常に最新のサイバー攻撃から身を守ることのできる仕組みを整えておかなければなりません。
システム面の改善だけでなく、システムを運用する従業員の教育やルールの徹底も欠かせません。
社用端末の使用や持ち出しのルールを丁寧に設定し、コミュニケーションツールも特定のサービスに限定するなどして、極力インシデントが発生しない枠組みを構築することが重要です。
社外への機密情報の持ち出しを防ぐ上で、必ず必要なのが秘密保持契約の締結です。
社外に共有して良い情報とそうでない情報の線引きを厳格に定め、持ち出しが確認された場合には厳正に処分することを、雇用前に伝えておきます。
この記事では、スタートアップ企業が対策すべき情報漏洩の現状について、解説しました。情報漏洩がもたらすリスクは決して無視できるものではなく、場合によってはビジネスモデルの崩壊を招く可能性もあります。
情報漏洩のリスクをゼロにすることはできませんが、限りなくリスクを小さくすることは十分に可能です。自社で必要な対策を今一度検討し、現在のセキュリティ対策状況を改善しましょう。
