中小企業に必要な情報漏えい対策
情報漏えい問題はいつもニュースを騒がせており、いつあなたの身に起きてもおかしくない最も注意するべきリスクの一つだ。
日経新聞によると、大手企業500社にアンケートをとったところ、過去5年間で3社に1社は何らかのかたちで顧客情報の漏えいを経験しているとのことだ。
人の手によるもの、内部不正によるもの、サイバー攻撃によるもの、その原因は多岐に渡るが企業としては流出させないための仕組みを取らなれければいけない。
しかし、予算や時間を投下できる大企業とは違い、中小企業では優先順位を持った対応をする必要がある。
今回は事例を参考にしながら中小企業にとって優先すべき対応をまとめたので、ぜひ参考にしていただきたい。
1.中小企業における情報漏えいの被害
情報漏えいにおける被害は大企業だけとは限らない。情報漏えいは100名以下の中小企業が全体6割を占めており、ほとんどが誤操作や管理ミス、紛失などによるものだ。意外なほど身近にある情報漏えいの被害を漏えいされた側ではなく、漏えいした側、つまり中小企業側の目線でどういったリスクがあるのかを見てみよう。
1-1.損害賠償責任
まず情報漏えいと聞いてすぐ思いつくのが個人情報漏えいと損害賠償による金銭的問題だ。裁判が起きなくても慰謝料として一人あたり数千円~数万円の支払いを行う企業がほとんどで、大規模なものになると億を超える損害賠償が発生する。これは中小企業規模では会社が吹き飛ぶレベルのもの。
個人情報漏えいは民事ではプライバシー権の侵害にあたり、刑事では安全管理義務違反や第三者提供違反などにあたるため、極めて重大なリスクのひとつだ。
1-2.社会的信用の失墜
情報漏えいの直接的な被害は主にコストと信用問題と言える。顧客だけでなく取引先からの信用、そして社内の信用。あらゆる面でマイナスな評価を受け、企業存続に大きな打撃を与えることになる。
1-3.時間
情報漏えいの対応に追われるだけでなく、情報漏えいに至るまでの原因や被害の規模を調査するために費やされる時間的コストが大きく割かれ、その分費やすはずだった本業への影響まである。
1-4.人件費、調査費用などの経費
時間的コストとあわせ、専門機関への調査費用や本業にあたるべき社員の人件費など目に見えない経費までかかることを考えると、非常に大きなマイナスとなる。
1-5.会社の疲弊
情報漏えいの大きな問題で見逃されがちだが、対応する社員自身が疲弊してしまい、最悪の場合は退職者が相次ぐことにもなる。実際、対応の中心人物が担当者が退職してしまい情報漏えい対策のノウハウが企業に残らないだけでなく貴重な人材まで失ってしまうケースは過去に多い。
2.情報漏えいの原因まとめ
中小企業としては会社存続を揺るがす致命的な損害が起きる情報漏えい問題だが、具体的な対策を講じる前にその原因をしっかりと抑えておこう。
情報漏えいの約8割は人的なもので、いわゆる「うっかりミス」というものがほとんどだ。しかし、情報漏えいに対する認識不足や不注意で会社が潰れてしまってはたまらない。しっかりと原因を抑えておこう。
2-1.メールやファックスの誤操作
実に4割弱もの割合を占めるのがこの誤操作によるもの。宛先確認の徹底は必要不可欠といえる。
2-2.紛失・置き忘れ
書類やUSBメモリなどの外部メディア装置にした時の紛失などは非常に多い。データの暗号化や書類管理の必要性を再認識する必要がある。
2-3.ウィルス感染
ウィルスやマルウェアによる被害は情報を盗まれるだけでなく、あらゆるデータは攻撃者に筒抜けと考えていいだろう。
2-4.不正アクセス
ウィルス経由やパソコンの脆弱性をついた攻撃など、許可していない外部の人間から社内ネットワークに侵入された場合、ウィルス同様データは筒抜け状態となる。
2-5.グレーツール
ファイル交換ソフトやSNS、メッセンジャーなど簡単に情報を持ち出せるツールを経由して第三者へ渡ることも多い。
3.中小企業に必要なの情報漏えい対策まとめ
外部からの攻撃も脅威だが、設備環境を整えることである程度は対策をすることができる。しかし、社内からの情報漏えいは人に依存することが多いため、教育だけでなく「チェックする仕組み」も必要となる。原因を踏まえて、中小企業として実施できる対策をお伝えする。
3-1.内部脅威の対策
誤送信や紛失をはじめとする人的被害の対策はシンプルで分かりやすいものが良い。また仕組みとして導入することで効果が目に見えて分かるものもあるので、ぜひ導入をおすすめする。他の企業でも取り入れられている対策事例をいくつかご紹介しよう。
3-1-1.送信前確認の徹底
ファックスの誤送信は番号の再確認以外に手段は無いだろう。番号の再確認と入力時の再確認のどちらも徹底することを教育しよう。
メールの送信確認はメーラーの設定で「送信前に宛先を再確認」するものもある。送信ボタンを押したあとでも改めて確認のポップアップが開き「本当によろしいですか?」と促すものだ。また、BCCに上司を自動的に含める設定を行うことで、万が一誤送信が起きた時も発見を素早く行うこともできる。
3-1-2.データ暗号化の徹底
USBメモリでの持ち出しやメール添付、クラウドサービスなど、デジタルデータを社外へ持ち出す方法は多岐に渡る。それら一つ一つの対策ではなく、データ自体にパスワードなどを設定し暗号化した方が効率的だ。暗号化には都度、手動で行う方法もあるが、できれば頻繁に利用するエクセルやワード、PDFなどは自動的に暗号化されるソフトを導入した方が良い。
3-1-3.パソコン利用の制限と監視
内部的なパソコンによる不正操作を防ぐためには、業務に必要ないソフトの利用を強制的に制限したり、操作の記録を残すことで間接的に抑止する方法がある。特にファイル交換ソフトなどはウィルス感染のリスクも大きいため、利用不可にしている会社も多い。また操作記録では印刷状況や使ったファイル名を確認するものもあるため、原因追求としても利用できる。
3-2.外部脅威の対策
外部からの脅威は社内への侵入対策に尽きる。ウィルス対策からネットワークへの不正アクセス対策など、設備による対策を行う必要がある。
3-2-1.ウィルス対策
パソコンにはウィルス対策ソフトを入れることが仕組みとして対策できる第一歩だ。今はパターンファイルによるものではなく、振る舞い検知が有効とされているため、古いタイプのソフトではなく最新版の新しいものを導入するのがいいだろう。また、ソフトは最新版でもウィルス検知に必要なパターンファイルが古くては意味がないので、必ず自動更新により最新化するような設定にしておこう。
3-2-2.社内ネットワーク対策
社内のネットワークに対しファイアウォールなどの機器を設置するのが望ましい。社内外問わず、データの送受信には必ずパソコンから社内ネットワークを通じて外に出る。その社内ネットワークにファイアウォールを設置することで必ずセキュリティ網に引っ掛けることができる。特にUTMのようなオールインされた機器は中小企業にとっては非常に有効なアイテムだ。
いかがだろうか?ここに挙げた対策はすべてではなく「時間がかけられない」「コストがかけられない」「専門家がいない」など、中小企業が抱えている課題を踏まえた上で、最低限実施しておくべき対策としてまとめている。ぜひ、情報漏えいを未然に防ぐために覚えておいていただきたい。
中小企業のセキュリティ対策
本当によくある危険な勘違い
- 中小企業のセキュリティ対策についてのご相談やお問い合わせ
-
OAランドグループではオフィス作りを中心に行う起業家支援企業です。近年、爆発的に増加しているセキュリティ事故を一件でも未然に防ぐため、セキュリティ対策に予算や時間をかけられない中小企業向けのセキュリティ対策のご提案をしています。ご相談やお問い合わせに費用はかかりません。