大企業にとどまらず、中小企業含めすべての企業にとって、情報漏洩対策は重要な課題です。この記事では、情報漏洩対策の重要性とリスク管理の考え方について説明し、その後、ガイドラインの策定や改善、活用に関するポイントについて解説します。
現代社会では、個人情報や企業の機密情報が盗難やハッキングによって流出するリスクが高まっています。情報漏洩は、企業だけでなく個人にも深刻な影響を与える可能性があります。まず、情報漏洩対策とリスク管理の重要性について解説します。
個人情報と企業が扱う機密情報の2つを例に、情報漏洩対策の重要性について考えてみましょう。
個人情報とは、氏名、生年月日、住所、電話番号、マイナンバーなど個人を特定する情報のことを指します。また、個人に紐づくクレジットカード情報(クレジットカード番号や有効期限など)や各種サービスのID/パスワードまで含めて、個人情報と呼ぶこともあります。
このような個人情報が第三者に流出することで、以下のような被害の実例が考えられます。
・クレジットカード情報を使った不正ショッピング、カードローンの不正利用
・クラウドサービスに不正ログインされ、クラウド上のデータ(画像、動画、書類)が流出
・ID、パスワードがダークウェブへの流出し不正売買
一方、個人情報以外の企業情報とは、経営情報、営業秘密、特許情報などの知的財産、社内文書、社内システム、顧客情報など、企業内で扱う様々な情報を指します。
例えば、事業戦略上の重要な機密情報が漏洩することで、競合企業に自社の事業活動を妨害されたり、出し抜かれるかもしれません。あるいは漏洩した新製品の技術情報が使われて特許出願に遅れを取り、経営戦略の見直しを強いられるかもしれません。
大規模な情報漏洩になると、その企業の社会的信用は低下し業績が悪化する可能性も考えられます。
個人情報や企業情報の漏洩に対して、企業は様々なリスクや影響度を想定し、高い感度で取り組む必要があります。
情報漏洩に対するリスク管理は、すべての企業において非常に重要です。
例えば、兵庫県尼崎市では、2022年6月に全市民情報の入ったUSBメモリーを紛失するという事件が発生しました。実質的な情報漏洩はなかったとされていますが、さまざまなリスク管理の甘さが指摘されています。関連メンバー全員(市職員、一次請け企業、委託先企業など)のセキュリティ意識の不足、使用するPCやデータ管理意識の欠如、データ持ち出し時の紛失・盗難の可能性、パスワード設定の不備などです。
本来、リスク管理とは、事前に想定されるリスクをできるだけ認識し、事前に考えうる対策を講じることで、リスクを最小限に抑える考え方です。
リスク管理を十分に意識した情報漏洩対策のため、適切なガイドライン策定が必要となります。
ガイドラインとは、企業や組織が定めたルールや方針のことであり、情報漏洩対策においても重要な役割を担っています。ガイドラインを策定することで、社員が情報漏洩のリスクを適切に理解し、情報セキュリティに対する意識を高めることができます。
企業は、顧客情報や企業情報など多くの機密情報を扱います。
情報漏洩が発生すると、経済的な損失や信頼の低下、法的なトラブルなど、多岐にわたる問題が生じる可能性があります。
そのため、情報漏洩を未然に防ぐためにもガイドラインを策定し、社員全員が情報漏洩対策に取り組むことが必要となります。
情報漏洩を防ぐためのガイドライン策定には、経営層やCISO(Chief Information Security Officer:情報セキュリティ管理責任者)が主導して、トップダウンで取り組むことが重要です。
ガイドラインは以下の点を中心に策定していきます。
◇セキュリティポリシーの定義
まず、セキュリティに対する経営層の高い意識を表明するため、経営方針と整合性のあるセキュリティポリシーを作成します。セキュリティポリシーとは、情報セキュリティに対する理念であり、それを具体化した行動指針のことです。
作成したセキュリティポリシーは、全社員がアクセス可能な社内サイトなどに公開し、周知徹底を行うことで、社員のセキュリティ意識向上につなげます。
◇リスクの特定と考えられる対策の検討
企業で取り扱う情報すべてを洗い出し、重要度や漏洩時のインパクトをもとに、守るべき情報と対応すべきリスクを特定します。そして、リスクの大小に応じて、優先度を決めた上で、対策を検討します。
たとえば、社員が使用していたパソコンが故障して、格納されていた技術情報が消去してしまったという事象に対して、外部流出の可能性がなければ、情報漏洩リスクは低いという判断になり、対応する優先度も低くていいはずです。
このように情報漏洩が起こりやすい状況を評価し、その状況においてどのような行動や対策が望ましいのか、または避けるべきなのかを明確にしていきます。
具体的には、パソコン、サーバ、ネットワーク、システム、サービスといったカテゴリごとに、情報の管理責任者を定め、リスクと対策を洗い出していきましょう。
◇緊急事態発生時の体制構築
情報漏洩やセキュリティ事故が発生した場合に備えて、緊急時の対応体制を事前に構築しておく必要があります。緊急事態が発生したときは、原因解析や調査に早急に着手し、被害を最小限に食い止めつつ、同時に復旧も進めなければなりません。
CISOのリーダーシップのもと、サービスやシステムの管理者はもちろん、セキュリティ対応のため高い技術をもった要員も随時連携できるように、対応体制を構築しておきます。
それと平行して、復旧のための手順を明確にした対応マニュアルも作成しておきましょう。体制およびマニュアルを整備したあとは、想定通りに機能するか、緊急事態発生に備えた予行演習を行うべきです。
緊急対応体制のメンバーだけでなく、必要に応じて一般社員も参画した演習にすると、意識づけにもつながります
◇サプライチェーン全体視点での把握
可能であれば、自社だけでなく、関係会社や取引先、委託先など含めたサプライチェーン全体の整備状況を把握しておくべきです。必要に応じて各社に協力を求めて、情報漏洩やセキュリティ事故への対策や体制構築を進めておきましょう。
その他、ガイドライン策定に関しては、経済産業省の「サイバーセキュリティ経営ガイドライン」や、独立行政法人情報処理推進機構(IPA)が公表している「中小企業の情報セキュリティ対策ガイドライン」などを参考にするといいでしょう。
ガイドラインの策定は一度で完了するものではありません。策定後も定期的に見直しを行い、必要に応じて改善を加えていくことが重要です。
特に、情報漏洩のリスクが変化することが予想される場合は、ガイドラインの改訂が必要となることがあります。
また、社員からの意見やフィードバックを積極的に取り入れることで、より実効性のあるガイドラインを策定することができます。万が一、情報漏洩が発生した場合には、その原因を徹底的に調査・分析し、ガイドラインの不具合や改善点を見つけ出し、反映させるようにしましょう。
ここでは、ガイドラインを実際に活用するポイントについて解説します。
ガイドラインを策定しただけでは、社員はその内容を理解できないでしょうし、遵守する必要性を感じないでしょう。
社員向けに、丁寧な啓蒙活動や基礎的な教育から実施していくことが必要です。
ガイドラインに記載されているセキュリティポリシーや社内情報の取り扱い方、情報漏洩対策などを説明した教材を作成し、全社員の受講を必須とした教育を実施していきます。オンライン教育で準備すると、時間や場所の制約も受けないため、一般社員も取り組みやすくなります。新入社員教育や中途社員入社時の教育にも、盛り込んでおきましょう。
また、一度実施したら終わりではなく、最低でも年に一度、最新情報を組み込んだ教育実施が必要です。
情報漏洩は、PCやUSBメモリーの紛失・置き忘れといった人為的なミスで発生することもありますが、外部から悪意ある攻撃を受けて情報漏洩につながってしまった、ということも多く発生しています。外部からの不正アクセスやマルウエア、ランサムウェアによる攻撃は、専用の情報漏洩対策ツールを使って防御しなくてはなりません。
情報漏洩対策ツールとは、たとえば以下のような機能を持ったソフトウェアのことを言います。
・ランサムウェア防止
・WEB保護
・デバイス制御
・データ暗号化
一般社員のPCにインストールするのはもちろん、PCを統合的に管理する機能も備わっていると、社内PC管理を効率的に行うことができるでしょう。
ガイドラインは作成して終わりではありません。
ガイドラインの内容を全社員に浸透させるためには、運用マニュアルも合わせて準備しておくことが重要です。
教育をいつ誰が受けたかといった管理や、誰がどのタイミングでガイドライン見直しを行うのか、といったガイドラインを運用していくためのルールを整備し、マニュアル化しておきましょう。
いくら時間と手間をかけてガイドラインを作成しても、情報漏洩やセキュリティ事故が発生する可能性はあります。ただ、もし事故が起きてしまっても、企業としては真摯に再発防止に取組む姿勢が大切です。原因を究明したうえで、再発防止策をガイドラインに組み込む必要があります。
また、事故が発生したかどうかに関わらず、ガイドラインは定期的に見直しを行い、最新の状況や法規制に合わせて改善を行っていかなければなりません。
トップダウンで策定したガイドラインであっても、全社員の理解と共感を得られなければ、運用定着させることは難しいため、継続的に社員への啓蒙に取り組むことは重要です。全社でガイドラインを遵守しているか、定期的な監査やチェックを行い、情報漏洩のリスクを最小限に抑えるようにしましょう。
情報漏洩は企業にとって大きなリスクですが、ガイドラインを適切に活用することで事故を未然に防いだり、最小限にすることができます。
ガイドラインの策定には、経営層やCISOのリーダーシップが求められますが、同時に全社的な協力体制を築き、全社員で情報漏洩対策に取り組みましょう。
