原因の6割は人的ミス

日本ネットワークセキュリティ協会(JNSA)が本年6月に公開した「2018年情報セキュリティインシデントに関する調査報告書【速報版】」によると、2018年に新聞やインターネットニュースなどで報道された個人情報漏えいインシデント件数は443件、漏えい人数は561万3797人であり、17年のデータと比べて増加という結果であった。

漏えい原因で見ると最も多いのは「紛失・置き忘れ」が117件(26･2%)、次いで「誤操作」が109件(24･6%)。「不正アクセス」が90件(20･3%)、「管理ミス」が54件(12･2%)という結果であった。17年のデータと比べて「紛失・置き忘れ」と「誤操作」の順位が入れ替わったものの、漏えい原因の上位4項目に変更はない。また、「紛失・置き忘れ」「誤操作」「管理ミス」といった人的ミスによる漏えいが全体の6割を占めている。

従って、企業としては、まずはこのような人的ミスをなくすために、社内ルールの整備や教育による従業員への周知、管理者による順守状況の定期的な確認、必要に応じて社内ルールの見直しなど管理的対策(セキュリティーマネジメント)に取り組むことが有効であると考える。 人のふり見てわがふり直せというように、他社の事故報道を自社の情報セキュリティーの強化に生かしてほしい。

暗号化など技術的対策も必要

さて、人的ミスの対策として管理的対策を挙げたが、人に依存した対策だけでは人的ミスはなくならないし、いざ事故が発生した際には対策が不十分ではなかったかと指摘を受ける可能性がある。そこで漏えいしても中身を読めなくするための「暗号化」といった技術的対策にも同時に取り組んでほしい。

「暗号化」と聞くと難しいという印象を持つ人は少なくはないだろう。しかし、詳細な理論はともかくとして簡単な操作で暗号化を設定できるOS(オペレーティングシステム)やオフィスアプリケーションなどが増えているので活用してほしい。

例えば、電子メールの誤送信といった「誤操作」による情報漏えい対策として、電子メールそのものを暗号化する場合は専用の仕組みが必要だが、文書作成ソフトなどのオフィスアプリケーションの機能として提供されている暗号化機能を利用すれば簡単な操作で暗号化が可能である。

また、ノートパソコンやスマートフォンなどの「紛失・置き忘れ」や「盗難」による情報漏えい対策として、最新のOSを搭載したノートパソコンやスマートフォンでは、内蔵するディスクを自動的に暗号化して利用する機能が搭載されていることがあるので活用してほしい。もし、OSに暗号化機能が備わっていなければ、電子メールの誤送信対策と同様に、オフィスアプリケーションの暗号化機能を利用するとよいだろう。

独立行政法人情報処理推進機構(IPA)では、利用者の多い「ウィンドウズ10」や「オフィス365」、「Acrobat(アクロバット)DC」などの具体的な暗号化の設定手順を作成してIPAのホームページ(https://www.ipa.go.jp/security/ipg/documents/dev_setting_crypt.html)で公開しているので活用してほしい。(独立行政法人情報処理推進機構・江島将和)