多発する企業の情報漏洩事件を目の当たりにして、いったいなにが事件の原因なのか気になる人も多いのではないでしょうか。
調査によれば情報漏洩の8割は、内部の人間が引き起こすとされています。不正アクセスなど外部からの悪意ある攻撃は、全体からすれば一部に過ぎません。ということは、情報漏洩対策とはすなわち、内部スタッフへの対策であると言えます。
ここでは人災型情報漏洩の具体例を紹介し、それらがどんな組織でも起こる可能性があり、実はすぐに対策すべき問題であることを知ってもらいます。その上でどんな方法が有効かを見ていき、そして最後にあなたが事件の発生源とならないためには、どのような心構えや行動が必要なのかも紹介します。
この記事で解説するのは、普段から心がけていれば、決してむずかしいことではないことばかりです。情報漏洩は発生してからでは遅いので、対策をすぐに始めましょう。
1.ほとんどの情報漏洩は人間が引き起こす
情報漏洩は、内部の人間が引き起こす割合が約8割で、外部からの悪意ある攻撃による割合は2割程度です。その内部理由とは、管理ミス、誤操作、紛失などのヒューマンエラーであり、人災とも言っても過言ではありません。内部の人間の認識不足や不注意をいかに解決するかが大切です。
人間が引き起こす要因がほどんどであり、不正アクセスは全体の5%にすぎません。
1-1.人的要因1「誤操作」
メールやFAX等の通信手段で、宛先あるいは内容、添付ファイルを間違える、操作ミスするといったケースが、情報漏洩の主な原因となっています。またWebサイトの設定ミスで、情報漏洩してしまうケースもあります。
≪例≫テレビ放送局・メール誤送信
2014年8月、あるテレビ放送局が、番組観覧募集の当選者にメール連絡した際に、他の当選者のメールアドレスが表示された状態で送信をするという事故を起こしました。「BCC」にすべきところを、誤って「宛先」にアドレスを入れてしまったというミスが原因です。
1-2.人的要因2「管理ミス」
情報の管理ルールがあるにもかかわらず、それを守ることができなかったというケースがこれにあたります。もしくは管理ルール自体の不備も考えられます。加えて、書類の誤破棄などもこれに含まれるもので、特に金融業や保険業を代表とする大量の情報書類を抱えている業種で起こる割合が高いという特徴があります。
≪例≫地方銀行・帳票の誤破棄
2012年7月、ある地方銀行が顧客情報が記載された帳票を誤って破棄していたことを公表しました。文書廃棄方法(溶解処理・シュレッダーでの細断処理・焼却処理)から考えて、情報流出の可能性は極めて低いという事案です。
1-3.人的要因3「紛失・置き忘れ」
データを外部に持ち出し、紛失・置き忘れしてしまうケースも、高い割合で起こっています。特に紙媒体の事例が多く、次いでUSBメモリなどの記録媒体、PC本体の順となっています。
≪例≫中国地方の自治体・住民基本台帳データ紛失
2012年12月、中国地方のある自治体が委託している業者の社員が、住民基本台帳データの入ったパソコンを地下鉄内に置き忘れるという事件が起きました。自治体に無断でコピーしていたという管理ミスも重なっています。
1-4.人的要因4「故意や悪意によるもの」
上記のような意図しないケアレスミスだけではなく、故意に情報を持ち出そうとする内部犯行も起こり得ることです。主に金銭という経済的な動機によるものが多いですが、その他には組織への不満や恨みといった感情的な動機により引き起こされるものもあります。
≪例≫教育関係企業・顧客名簿漏洩
2014年7月に起きた教育関係企業の顧客情報漏洩事件は、グループ社員が名簿を売って現金を得たいという明確な目的を持ったものでした。
2.経営者から社員まで、意識を変えることが一番の対策
2-1.社員教育と意識の向上
注意すべきは、現場の日常にあるちょっとした行動です。このことについて経営陣をはじめ社員全体で、意識を高める必要があります。情報漏洩は他人事ではなく、自分が(自社が)起こしてしまう可能性があることを、認識しなければならないというわけです。
社員の意識を高めるためのポイントとして、以下を共有すると効果的です。
- 情報漏洩の大半は、悪意の有無にかかわらず人間が引き起こす
- データ送信時は特にミスが発生しやすい
- なにげない会話にも情報漏洩のリスクがある
- 情報を取り扱う社会的責任は軽いものではない
詳しくは「即刻対策!情報漏洩の被害を最小限に抑えて身を守る方法」にて解説しています。
セキュリティポリシーを作る、社内教育を行うというのは、有効な対策のようではありますが、それが一方的なものえあった場合、経営陣の満足にとどまっている場合もあります。社員ひとりひとりの認識不足、意識の低さを改めることが、情報漏洩対策の基盤となると言えるでしょう。
2-2.データ持ち出しの管理
2-2-1.持ち出す際の注意点
一番の対策は、安易にデータを持ち出さない(持ち出させないこと)です。紛失や置き忘れだけでなく、盗難のおそれもあるからです。また、家に持ち帰って仕事するためなど、悪意なき行動が実はとてもリスクをはらんでいるということを、よく知るべきだと言えます。
どうしてもPCやUSBメモリなどでデータを持ち出す必要があるならば、そのデータ自体を暗号化することで、紛失や盗難時の情報漏洩リスクを防ぐことができます。
2-2-2.持ち出した後の注意点
持ち出したデータは、安全な環境下でしか扱ってはいけません。PCを社外のネットワーク環境に無防備で接続したり、USBメモリなどをネットカフェ等のパソコンで使うというのは禁止です。いずれもウイルスに感染する可能性があり、それを持ち帰ったことで情報漏洩を招きかねないからです。
≪例≫某大学・情報漏洩
2014年4月、ある大学の教授が外付けハードディスクを持ち帰りインターネットに接続したところ、適切なセキュリティが設定されていなかったため、ハードディスクの情報が誰でも閲覧できる状況にあるという事件が起こりました。
3.初歩的ミスを防ぐための具体的な取り組み
3-1.メール送信
メール送信のミスを100%防ぐことは、残念ながらできません。しかし、個人の心掛けや行動で、発生割合を下げる対策をとることはできます。また組織としては、ルールを明確化したりシステムを導入することで、対策することもできます。
以下は、実際にいろいろな企業で運用されている対策です。
≪個人で対策できること≫
- メール作成後、一息おいてから宛先、CC、BCCを確認
- 送信前に内容、添付ファイルを確認
- 複数人で宛先、内容、添付ファイルを確認
- 上司へのCCやBCCを義務づける
≪組織で対策できること≫
- メールを暗号化
- 自動送受信を禁止
- 個人情報を含むメールの禁止
- 添付ファイルの容量を制限
- 誤送信と気づいた後にでも対応できるようにメーラーを設定
- 誤送信対策のソフトやサービス、システムを導入
3-2.FAX送信
メールと同様にFAX送信時のミスも、どんなに気を付けたところで起きてしまう可能性があります。メールの場合に比べて人に頼ったものとなりますが、以下の防止策があります。
≪個人で対策できること≫
- 送信時には複数人で確認する
≪組織で対策できること≫
- 短縮ダイヤルを義務づける(番号入力での送信を禁止)
- 使用は許可制とする
4.まとめ
情報漏洩の大半はヒューマンエラー、それもケアレスミスから起こるものだということを見てきました。これは経営者から従業員まで、誰もが当事者になる可能性があると自覚しなければなりません。
セキュリティポリシーや、情報漏洩に関する社員教育は、形骸化しがちなものです。そうさせないためにも、特に普段から用いる頻度が高いメールに関して、ルールを順守することから始めてみてはどうでしょうか。そうした心掛けが、情報漏洩対策の第一歩となります。
