本ページはアフィリエイト広告プログラムによる収益が発生しています。
「情報漏洩を防ぐために対策を取りたいけれど、具体的にどうすれば効果的なのかわからない」という方は多いのではないでしょうか。以下のとおり、原因が多岐にわたる情報漏洩を防ぐには、複数の対策を組み合わせる必要があります。
| 情報漏洩の原因 | 対策例 |
| 紛失・置き忘れ | ・各自の判断で勝手に持ち出さず、ルールを統一しておく・持ち出し時は暗号化し、機器の持ち出し状況の記録を残すなどして管理する・社内で保管する場合も置き場所をきちんと決め、机上などに放置したままにしない |
| 誤操作 | ・重要なメール送信前は、必ず2名以上で確認する・チェックリストを作成し、確認を徹底する・チェック機能の付いたシステムを採用する |
| 不正アクセス | ・スマートフォンやタブレット端末 ・メールアドレスなどは、仕事とプライベート間で流用しない ・誤って接続されることを防ぐため、私物のUSBメモリなどは持ち込まない ・セキュリティソフトを導入する・データへのアクセス権限やコピーの制限などの設定をする |
| 管理ミス | ・紙の書類はシュレッダーにかけるか、専門の処理業者に溶融処理を依頼する・デバイス類の廃棄時は、 専用ソフトを使ってデータを完全消去するか、物理的に破壊する |
デジタル化の推進やテレワークの浸透などに伴い、情報漏洩が起きる原因は増加する一方です。情報漏洩は、不正アクセスをはじめとするサイバー攻撃はもちろんのこと、日常の業務の中の些細なミスで簡単に起こります。
そして情報漏洩が発生してしまえば、訴訟沙汰になったりニュースで大きく報道されて信頼を失ったりしてしまうのです。だからこそ、漏れなく適切な対策を講じておかなくてはなりません。
そこで、この記事では、情報漏洩に対する効果的な対策を取るうえで欠かせない次の内容をまとめて解説します。
- 情報漏洩の代表的な原因
- 原因を踏まえた情報漏洩の対策
- 情報漏洩が起きてしまった場合に被害を抑えるための対策
- 情報漏洩対策を徹底するためのポイント
上記のポイントを把握しておくことで、自社に効果的な対策を優先して行うことが可能です。情報漏洩でさまざまな損害を発生させないためにも、効果的な情報漏洩対策について知識を深めておきましょう。
1. 情報漏洩対策は原因を踏まえて行うことが重要!
情報漏洩の対策を適切に行うためには、漏洩原因を把握して、対応する対策を優先して行うことが重要になります。
漏洩原因にどのようなものがあるのか把握しておくことで、発生しやすいシチュエーションや、対策が十分ではない原因を重点的にフォローしていくことが可能になり、無駄なく効果的に情報漏洩対策を行うことができるようになるからです。
例えば、社外にパソコンを持ち出す際のルールづくりは「紛失・置き忘れ」による情報漏洩対策として効果的ですが、そもそも機密情報・個人情報を持ち出す機会のない部署では対策の優先度は低いため、別の原因に対応する措置を優先させたほうが効果的と言えます。
このように、原因を踏まえて対策を考えることで、その部署・会社にとって一番有効な措置を優先して行うことが可能となるのです。
情報漏洩の発生原因には、大きく分けて、人為的ミスによるものと不正アクセスによるものがあります。
日本ネットワークセキュリティ協会の調査によると、情報漏洩の原因で多いものは、1位「紛失・置き忘れ」、2位「誤操作」、3位 「不正アクセス」、4位「管理ミス」でした。
上記の結果から、例えば次のようなシチュエーションで情報漏洩が起きることがわかります。
| 情報漏洩の原因 | 具体例 |
|---|---|
| 紛失・置き忘れ | ・自宅で残業をしようと考え持ち出したUSBメモリを紛失した ・電車の網棚に個人情報の入ったPCを置き忘れた |
| 誤操作 | ・重要なデータを添付したメールを送信時、誤ってメーリングリスト全員に送った ・BccとCcを誤ってしまった |
| 不正アクセス | ・ウイルス感染でデータが流出した ・パスワードが脆弱で突破されてしまった |
| 管理ミス | ・データを完全消去しないままデバイスを廃棄した ・重要情報を誰でも閲覧・コピーできる状態にしている |
このように情報漏洩の発生しやすい具体的な場面を想定することで、より一層、漏洩防止に効果的な対策を講じることが可能です。
以上のような原因を踏まえてどのように対策を講じていけばよいのか、次章以降で確認していきましょう。
2. 人為的ミスによる情報漏洩の対策4つ
ここでは、「紛失・置き忘れ」「誤操作」「管理ミス」などといった
人為的ミスによる情報漏洩に効果的な対策を4つ紹介します。
| 人為的ミスによる情報漏洩の対策4つ |
| 1. 情報や機器を安易に持ち出し・放置しない 2. メール送信時のチェック体制を整える 3. 安易に情報や機器を破棄しない 4. セキュリティ教育を行う |
それぞれ、人為的ミスによる情報漏洩を防ぐうえで、どのように効果的なのかを詳しく見ていきましょう。
2-1. 対策①情報や機器を安易に持ち出し・放置しない
「紛失・置き忘れ」対策として効果的なのが、情報や機器の取扱いルールを決めて徹底させ、安易に持ち出したり放置したりしないことです。
書類やデータ入りの機器を社外に持ち出したり決められた場所以外に放置したりすると、出先や移動中での置き忘れや他の物と紛れるなどにより、情報漏洩のリスクが段違いに上がってしまいます。
漏洩しては困る情報の記載された書類・データの入った機器などは、例えば、
【対策の具体例】
- 各自の判断で勝手に持ち出さず、ルールを統一しておく
- 持ち出し時は暗号化し、機器の持ち出し状況の記録を残すなどして管理する
- 社内で保管する場合も置き場所をきちんと決め、机上などに放置したままにしない
などの対策を講じると効果的です。
以下のようなケースに該当する場合、速やかに対策を検討することをおすすめします。
| この対策を積極的に行うべきケース |
| ・日ごろから社外へデータを持ち出す機会が多い ・情報の持ち出しや管理について統一したルールが今のところない |
2-2. 対策②メール送信時のチェック体制を整える
「誤操作」対策として効果的なのが、メール送信時など情報漏洩リスクの高い場面では、複数名で確認するといったチェック体制を整えることです。
業務が立て込んでいるときなどは、用心深い人でも誤操作しがちなもの。そこで、手順の最後にチェック工程を挟むことで、どんなときもミスを防ぐことができるようになります。
チェック方法として、例えば、次の方法が有効でしょう。
【対策の具体例】
- 重要なメール送信前は、必ず2名以上で確認する
- チェックリストを作成し、確認を徹底する
- チェック機能の付いたシステムを採用する
以下のような場合、優先的に誤操作を防ぐチェック体制を確立する必要があります。
| この対策を積極的に行うべきケース |
| ・メール本文や添付ファイルで、個人情報や重要性の高い情報を送る機会がある ・採用しているメールシステムに誤送信を防ぐ機能がない |
2-3. 対策③安易に情報や機器を破棄しない
「管理ミス」の対策として必ず実践しておきたいのが、漏洩しては困る情報を記録していた書類やデバイス類を安易に破棄しないためのルール作りです。
書類やデバイス類は、適切な方法・ルートで処理しないと、廃棄したものから情報を復元・抽出され漏洩してしまう危険性があります。そのため、廃棄後データを抜き取られないための対策が必要なのです。
例えば、次のような対策を行うとよいでしょう。
【対策の具体例】
- 紙の書類はシュレッダーにかけるか、専門の処理業者に溶融処理を依頼する
- デバイス類の廃棄時は、専用ソフトを使ってデータを完全消去するか、物理的に破壊する
以下のような場合、速やかに対策を取り入れる必要があります。
| この対策を積極的に行うべきケース |
| ・各従業員単位で管理しているUSBメモリやデバイス類に重要情報を保存する可能性がある ・シュレッダーの利用やデータの完全消去について社内で浸透していない |
2-4. 対策④セキュリティ教育を行う
人為的ミスを防ぐうえでは、従業員一人ひとりの情報リテラシーを高めるためのセキュリティ教育を定期的に行うことが効果的です。
いくら情報漏洩対策のルールを万全に定め、ほとんどの従業員がそれを守っていたとしても、一握りの従業員がいい加減な行動をすれば情報漏洩は起こってしまいます。
そのような事態を避けるためには、社内全体の情報リテラシーを高く保つべく、継続的に情報セキュリティに関する教育を行う必要があるのです。
【対策の具体例】
- eラーニングを活用する
- 外部講師を招く
- OJTでもセキュリティ教育を取り入れる
上記のような方法で、継続的に教育を行いましょう。
特に、新入社員が入ったときや社内でインシデントに発展しかねない事案が起きたとき、大きな情報漏洩事件が報道されたときなどのタイミングで実施するのがおすすめです。
| この対策を積極的に行うべきケース |
| ・現在、セキュリティ教育を年に1回も行っていない |
3. 不正アクセスによる情報漏洩の対策2つ
コンピューターウイルスによるサイバー攻撃など不正アクセスで起こる情報漏洩を防ぐためには、次のような対策を取ることが非常に重要です。
| 不正アクセスによる情報漏洩の対策2つ |
| 1. 機器の持ち込みに注意する2. セキュリティ対策を徹底する |
ここでは、上記の2つの対策について解説します。自社では対策できているかどうか、確認してみましょう。
3-1. 機器の持ち込みに注意する
コンピューターウイルスの感染を防ぐために欠かせないのが、安易に社外から機器を持ち込み社内のシステムに接続をしないことです。
USB接続できる機器は、ケーブルであっても接続しただけでウイルス感染する危険性があります。そのため、外部から持ち込んだ安全性の確認できないデバイス類は、極力、社内のシステムに接続しないことが大切です。
例えば、以下のようなルールを定め、周知徹底させる必要があるでしょう。
【対策の具体例】
・スマートフォンやタブレット端末・メールアドレスなどは、仕事とプライベート間で流用しない
・誤って接続されることを防ぐため、私物のUSBメモリなどは持ち込まない
どのような企業もウイルス感染対策は徹底すべきですが、特に以下のような場合は優先的に対策を行うことをおすすめします。
| この対策を積極的に行うべきケース |
| ・テレワークを行っているなど、外部から機器が持ち込まれる可能性が高い |
3-2. セキュリティ対策を徹底する
不正アクセスによる情報漏洩を防ぐためには、機器を外部から持ち込まないこと以外にも、システム自体のセキュリティ対策を複数組み合わせて行っておきましょう。
情報漏洩の原因となる不正アクセスは、ウイルスに感染させる・パスワードを不正に入手する・内部の人間が不正にデータをコピーして持ち出すなどさまざまです。そのため、対策も複層的に実施する必要があります。
【対策の具体例】
- セキュリティソフトを導入する
- OSアップデートを徹底する・推測されやすいパスワードは設定せず、定期的に変更したりパスワードを人目に触れさせないなど管理をきちんと行う
- データへのアクセス権限やコピーの制限などの設定をする
上記のような対策が、特に必要となるのは以下のようなケースです。
| この対策を積極的に行うべきケース |
| ・社内システムで機密情報や個人情報を管理している場合 |
4. 情報漏洩発生時に被害を抑えるための対策2つ
情報漏洩は予防を徹底するのが一番ですが、それでも発生してしまう危険性をゼロにはできません。そのため、万一情報が漏洩してしまった場合も、被害を最小限に抑えるための対策が必要です。
| 情報漏洩発生時に被害を抑えるための対策2つ |
| 1. 報告体制を整えておく2. 対応フローを準備しておく |
もしもの時に落ち着いて事態を収拾し二次被害を出さないために、どのような準備が必要なのか、詳しく見ていきましょう。
4-1. 報告体制を整えておく
情報漏洩が発生してしまった場合に重要なのが、いかに早く事実を把握し適切な対応を取るために動き出せるかです。そのためには、必要な報告が然るべき部署にスムーズに上がっていくような体制を作っておく必要があります。
具体的には、情報漏洩が起きた可能性がある場合、発生してしまった場合などは、
・最優先で報告すること
・どこの部署に何を報告すればよいのか
などを決め、全員に周知徹底させておきましょう。
自己判断で動いたり報告が遅れて対応が後回しになると、さらなる情報漏洩が発生したり、企業イメージの低下がひどくなるなどのリスクがあります。できるだけ速やかに必要な情報を把握できるような仕組みづくりをしておきましょう。
4-2. 対応フローを準備しておく
速やかな報告ができる体制づくりと合わせて準備しておきたいのが、情報漏洩発生時の対応フローです。
特に不正アクセスによる情報漏洩発生時は、適切な初動対応ができるかどうかで発生する損害が大きく変わります。とは言え、緊急時にとっさに関係者全員が適切な行動を取るのは難しいものです。そんな時もフローを準備しておけば、最善の行動を取ることが可能となるでしょう。
例えば、次のような対応が必要となります。
不正アクセスによる情報漏洩発生時にまずやるべきこと
| 二次被害を防止する | ・ウイルス感染が疑われる場合、インターネットから切断したり、感染が疑われるデバイスを社内ネットワークから隔離するなどの対応を行う |
| 原因や状況を把握する | ・なぜ、どのような経緯で情報漏洩の発生に至ったのか状況を整理する |
| 報告や公表を行う | ・個人情報漏洩の場合、個人情報保護委員会への報告や、漏洩した個人情報の本人に通知が必要な場合がある ・取引先や報道機関への連絡、警察への通報なども検討する |
| システムを復旧させる | ・再発防止策を講じたうえでシステム運用を再開させる |
万一の場合に慌てず正しい判断をするためには、日ごろからの万全な準備が欠かせません。この機会に自社の対策の状況を確認し、不十分な箇所は速やかに整備を行いましょう。
5. 効果的な情報漏洩対策を取るうえで重要なのはPDCA
せっかく情報漏洩対策としてルールや仕組みを整備しても形骸化してしまっては効果を発揮できません。例えば、ルールだけ決めても部署によっては実際に運用されていなかったり、研修を行っても参加者がほとんどいなかったりしては無意味です。
そのため、情報漏洩対策は一度行ったら終わりではなく、継続的に運用状況を確認しアップデートを行う必要があります。
具体的には、PDCAサイクルに基づいて情報漏洩対策を管理していくと効果的です。
上記のサイクルを情報漏洩対策に当てはめると、次のようになります。
情報漏洩対策のPDCAとは?
| P(plan・計画) | ・保有する個人情報や機密情報と情報漏洩リスクを整理する ・ルールや仕組み研修、セキュリティ対策などの案を作成する |
| D(do・実行) | ・従業員全員にルールを運用させる ・研修やセキュリティ対策を実施する |
| C(check・確認) | ・各部署でルールどおりの運用が行われているか、年1回程度監査し是正する |
| A(action・見直し) | ・運用状況や現場の意見、リスクの変化などを踏まえ、対策をアップデートする |
上記のようなサイクルで情報漏洩対策の形骸化を防ぐことで、本当に効果的な運用ができるでしょう。
情報漏洩は1度発生してしまうと取り返しのつかない損害が生じるうえ、どこの企業にも常に発生リスクが存在しています。情報漏洩対策のメンテナンスをしっかり行い、確実に企業を守ることが非常に重要です。
6. まとめ
この記事では、効果的な情報漏洩対策について、発生原因を踏まえながら説明しました。最後にポイントを確認しておきましょう。
情報漏洩の代表的な原因は、「紛失・置き忘れ」「誤操作」「管理ミス」などといった人為的ミスと、不正アクセスの2種類があります。人為的ミスによる情報漏洩に特に効果的な対策は、次の4つです。
また、不正アクセスによる情報漏洩に効果的な対策として、次のようなものが挙げられます。
万一情報漏洩が起きてしまった場合に、被害を抑えるために対策しておくべきことは、
- 報告体制を整えておく
- 対応フローを準備しておく
などです。
情報漏洩対策を効果的なものにするためには、PDCAサイクルを回し形骸化させないようにしましょう。
情報漏洩件数は年々増加しており、どのような企業でも発生する危険性が高まっている状況です。損害発生リスクのない業務環境を作るためにも、今一度、適切な対策が行えているかどうか確認してみましょう。
