企業のIT化が急速に進み、個人情報がデータベース化された結果、情報漏洩のリスクが大きくなりました。
個人情報漏洩とは、個人情報を保有する者及び個人情報に該当する者の意図に反して、第三者へ情報が渡ることを言います。個人情報を取り扱う事業者や機関には個人情報保護法が適用され、情報管理に関する義務や罰則が規定されています。
情報漏洩が起きた場合、莫大な損害賠償額がかかったり、企業イメージを著しく損ねることもあるため、しっかりと個人情報漏洩に関する知識を身につけることで対策をしていくことが必要とされています。
・情報漏洩の原因
個人情報は様々なルートから漏洩するため、個人情報漏洩が起きたら、問題を解決するために原因を特定するのがもっとも重要です。
原因としては、紛失・置忘れ、誤操作、管理ミス、不正アクセス、盗難、不正な情報持ち出し、内部犯罪・内部不正行為、設定ミス、バグ・セキュリティホール、ワーム・ウイルス、目的外使用などが挙げられます。
2015年の日本ネットワークセキュリティ協会の調査では、紛失・置忘れと誤操作の2つで、全体の56.2%と半分以上を占めていました。
社会問題化しているウイルス感染・不正アクセスによる情報流出は合わせて9.3%と約一割でしたが、1事故あたりの情報漏洩・紛失の件数はウイルス感染・不正アクセスの方がはるかに多いため、深刻な問題であるといえます。
・情報漏洩を未然に防ぐための対策
個人情報漏洩は起きてしまったら、その情報をすべて回収するということは不可能です。流出元の企業は損害賠償責任を負い、社会的信頼を失うことになります。そうなる前に多少の費用をかけてでも、情報漏洩を防ぐ策を講じましょう。ここでは情報漏洩の防止策について紹介していきます。
〇社内ルールを設ける
情報漏洩の原因としてもっとも多いのが、「紛失・置忘れ」であることからもわかるとおり、多くの場合情報漏洩が起きるのは社員の情報の取扱い方に誤りがあるからです。
個人情報や業務情報の入ったパソコンやUSBを外に持ち出したり、ファイル共有ソフトを利用したりといったことは情報漏洩に直結してしまうので、社員の裁量に任せるのではなく、あらかじめ社内規則で定めるといったことが必要です。その他の漏洩対策としては定期的にパスワードを変更する、守秘義務に関する書面を取り交わす、安全確認の取れていないWebサイトで個人情報の入力を禁ずるといったものが挙げられます。
〇社員教育を行う
もちろんルールを作るだけでは、個人情報漏洩を防ぐことは困難です。
同様に重要なことは社員の情報に対する意識を育成することや情報の取り扱いに関する指導を行なうことです。定期的にセミナーを行なうなど地道な社員教育を続けましょう。
個人情報漏洩は他人事ではなく、自分や自社が起こしてしまう可能性があることや、起こしてしまうと会社に甚大なダメージを与えてしまうだけでなく、個人にも責任は追及される可能性があることを意識づけることが重要です。
〇セキュリティを強化する
発生すると深刻化してしまうのが、ウイルス感染・不正アクセスによる情報漏洩です。
社内ルールを定めることや社員教育だけでは防ぐことが難しいため、ウイルス感染・不正アクセスを原因とする情報漏洩を防ぐためにセキュリティを強化する必要があります。
具体的には、
・セキュリティ対策室の設置やセキュリティソフトの導入・更新を行なう
・個人情報に対するアクセス制限を行ない必要最小限の社員のみがアクセスできるようにする
・従業員が自由にソフトウェアをインストールすることを禁止する
・ファイアウォールを使用してネットワークを公開用・社内用・機密用などの目的毎に分割する
・退職者のアカウントは即時抹消する
といった対策があります。
このように、情報漏洩には多岐にわたる対策を行なう必要があり、企業にとっては負担になります
。しかし、情報漏洩が実際に起きてから対策を行なっても意味がありません。個人情報を取り扱う企業には情報を安全に管理する義務があります。
しっかりと対策をして企業の信頼を損ねることのないようにしましょう。
・まとめ
IT化が進み、情報漏洩が取り沙汰されるようになってから、随分経ちますが、情報漏洩のニュースが途切れることはなく日々新たな情報漏洩が起きています。
まずは、情報漏洩が起きないよう万全の対策を行ないましょう。また、その上で万一、情報漏洩が発生した場合のマニュアルなどを用意しておくことも重要です。