原因の1位は「誤操作」

個人情報漏えいの事件や事故の報道が相次いでいるが、NPO日本ネットワークセキュリティ協会(JNSA)が公表した「2017年情報セキュリティインシデントに関する調査報告書【速報版】」によると、2017年に新聞やニュースサイトなどで報道された個人情報漏えいのインシデント件数は386件、漏えい人数は519万8142人、想定損害賠償総額は1914億2742万円であった。これは、1件当たりの漏えい人数が1万4894人、1件当たりの平均想定損害賠償額が5億4850万円という計算になる。 また、漏えい原因の1位は「誤操作」97件(25･1%)、2位は「紛失・置き忘れ」84件(21･8%)、3位は「不正アクセス」67件(17･4%)、4位は「管理ミス」50件(13･0%)であった。「誤操作」「紛失・置き忘れ」「管理ミス」といった人的ミスによる情報漏えいが全体の約60%を占めていることから、人的ミスによる情報漏えいを対策することは最も重視すべき対策の一つであるといえるだろう。

人的ミスによる情報漏えい対策としては、個々人の意識を高めるための情報セキュリティー教育が有効である。年1回程度は従業員研修を行い、また朝礼や社内報を活用して従業員の情報セキュリティーへの接触頻度を高めることで社内に情報セキュリティーを守る風土づくりを行うことが望ましい。独立行政法人情報処理推進機構(IPA)では、ホームページ(https://www.ipa.go.jp/security/keihatsu/)で、従業員研修に利用できる映像教材や啓発資料を無償提供しているので活用してほしい。

社内ルールの策定が有効

また、人的ミスによる情報漏えいが発生する原因を突き詰めることによって、どのような時にミスが発生しやすいのか、どうすればミスを防止することができるのかを検討し、対策として社内ルール化することも有効である。

JNSAの調査報告書からも情報セキュリティインシデントの発生が多いと考えられる情報の「保管」「持ち出し」「破棄」においてリスクと対策を検討すると次のようなことが挙げられる。

■保管のルール

重要情報の放置を禁止する

机の上に放置された情報は、誰かに持ち去られたり、盗み見られたりする危険にさらされている。重要書類は鍵付き書庫に保管し、作業に必要な場合のみ持ち出し、終了後に戻すことを励行するなどの対策を講じる。

■持ち出しのルール

重要情報は安全な方法で持ち出す

重要情報を社外へ持ち出す場合、思わぬ盗難にあったり、うっかり紛失したりすることがある。重要情報の持ち出しは許可制にする、ノートパソコンやUSBメモリなどはパスワードをかける、重要情報の入った荷物は肌身離さず持ち歩くようにするなどの対策を講じる。

■破棄のルール

重要情報は復元できないように消去する

重要情報が記載された書類をゴミ箱にそのまま捨てると、関係者以外の目に触れてしまう可能性がある。また、電子機器などに保存された情報は、ファイル削除の操作をしても復元される恐れがある。重要情報を廃棄する場合は、シュレッダーや消去用ソフトウエアを利用するなど、媒体ごとに適切な処分をするなどの対策を講じる。

ここに挙げたリスクと対策は一般的なものであるため、企業によってはリスクや対策を追加検討する必要があるだろう。検討に当たってはIPAの啓発資料を参考にしてほしい。 (独立行政法人情報処理推進機構・江島将和)