前回は世間を騒がせた個人情報流出事件を元に、安全なハードディスクの処分方法についてお届けしました。そちらの事件は故意の横領、内部犯行でした。情報漏えいに関しては故意であっても過失であっても、企業が負う責任は一緒です。2回目となる今回は、見過ごされがちな「悪意のないインシデント」に焦点をあてて、情報漏えい対策のポイントをまとめてみたいと思います。
情報漏えいの原因
情報漏えいインシデント分析結果2018
こちらはJNSAセキュリティ被害調査ワーキンググループが、2018年に新聞やインターネットニュースなどで報道された個人情報漏えいインシデントの情報を集計し、分析を行った集計結果です。分析では一件あたり平均想定損害賠償額が6億3,767万円にもなり、一度個人情報の漏えいが発生すると、企業にとって金銭的にダメージを受ける事がわかります。加えて、第1回のような事件の場合、信用も失墜し、企業の存続も危ぶまれる事態となることも予想されます。
最も多い「悪意のないインシデント」
ここで注目したいのが、これらの流出原因です。
引用:https://www.jnsa.org/result/incident/2018.html
同じくJNSAがまとめている漏えい原因によると、最も多い原因は「紛失・置忘れ」で比率は全体の26.2%、続いて誤操作の24.6%です。この2つは「過失」によるものですが、全体の半数を超えています。続いて不正アクセスの20.3%、管理ミスによる12.2%、盗難の3.8%、設定ミスの3.6%、内部犯罪・内部不正行為の2.9%そして不正な情報持ち出しの2.3%と集計されています。情報漏えいはサイバー攻撃のみならず、様々な要因があることがわかります。実は情報漏えいの原因で最も多いのが、操作ミス・管理ミスといった「悪意のないインシデント」です。
- メール誤送信
メール誤送信の例は非常に多く、宛先アドレスの間違いや、「BCCで送ったつもりがCCで送信してしまい、会員のメールアドレスが漏えいした」というニュースをよく見ます。メール誤送信による情報漏えいは、1度のミスで引き起こされる漏えいの規模が大きくなりやすいという性質があります。誤送信したメールに、大量の個人情報を含んだデータが添付されていた場合、たった1度のミスで大きな事故につながってしまいます。
- 紛失・置忘れ
「監査先の会計情報や個人情報を含むPCを電車内に置忘れて紛失」、「学校の生徒についての個人情報を含むUSBメモリを紛失」、「病院の患者情報を含むUSBメモリを紛失」といったニュースもよく目にします。特にUSBメモリのような小さなデバイスは、一度紛失してしまうと、見つけ出すことは難しく、簡単にデータを取得される恐れがあります。
- 管理ミス・設定ミス
社内ルールの形骸化により、ルーズな情報の取扱いが常習化すると、ちょっとくらいならと個人情報の社外持ち出しをしたり、グループウェア等で退職した社員のアカウントを削除し忘れていたりといった管理ミス・設定ミスが発生します。その他、社用のパソコンをセキュリティ性の低い公衆Wi-Fiに接続する、重要情報を保存していた記憶装置や媒体を、ファイル削除をしただけで未処理のまま捨ててしまうといったものも含まれます。前回のB社の事件では、神奈川県が最終処分先の把握や、消去証明書の提出をきちんと受け取らずにいたことも管理ミスの一環と言えます。
- 盗難
盗難による個人情報の漏えいの可能性も無視できません。重要情報が含まれたパソコンやUSBメモリが入ったカバンの盗難により、個人情報が流出するケースも考えられます。こちらも紛失・置忘れと同じく、簡単にデータを取得される恐れがあります。
過失や管理ミスによる情報漏えいを防ぐには
不正な情報持ち出しができないセキュリティポリシーの設定
セキュリティポリシーとは、企業や組織が情報セキュリティを保つための全体的な指針や方針を定めたルールのことです。セキュリティポリシーには、社内規定といった組織全体のルールから、どのような情報資産をどのような脅威からどのように守るのかといった基本的な考え方、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などを具体的に記載します。例えば個人情報や社内の機密などの情報については、その情報にアクセスできる管理者をしっかりと決めて管理する必要があります。 しっかりとしたセキュリティに関するルール作りを徹底することで、被害を最小限に食い止めることはできます。
社員教育と意識の向上
セキュリティポリシーを整備するだけでは情報漏えいを防ぐことはできません。情報資産を共有するすべての社員や職員が適切な情報セキュリティ意識を持たなければ、ウイルス、情報漏えいなどから組織を防御することは困難です。うっかりではすまされないこと、自分の過失で重大事件に発展する恐れのあることなどを、従業員に対して教育するよう努める必要があります。
システムによるヒューマンエラーの防御
いくら気を付けていても過失は起こり得ます。そのため、検知や防止のためのシステム構築、運用などを通じて監視し、事故を未然に防ぐことも重要です。またデータの暗号化も有効な対策です。第一回目では、流出元となった神奈川県が、情報を守るには処分まで見届けることや、物理破壊といった対策を取ることを、流出元となった神奈川県が再発防止策として掲げていることをご紹介しました。それに併せて、普段からの情報流出対策にも有効な方法として、ハードディスク内のデータ暗号化の必要性を解説しました。ぜひ社内の情報管理部門の方は、サーバやデータベースといったハードディスク内のデータの暗号化について検討してみてください。
発生時の原則
数々の対策を実行していても情報漏えいが発生してしまう可能性があります。IPA 独立行政法人 情報処理推進機構では、万が一情報漏えいが発生してしまった場合の対応手順として次のような原則にまとめています。
- 被害拡大防止・二次被害防止・再発防止の原則
- 事実確認と情報の一元管理の原則
- 透明性・開示の原則
- チームワークの原則
- 備えあれば憂いなしの原則
ここで最も重要な原則として、情報漏えいによって引き起こされる被害を最小限にとどめることが述べられています。漏えいした情報が犯罪等に使用されることを防止し、一度発生した事故・事件は二度と起こることのないよう再発を防止することが重要です。また正確な情報の把握に努め、外部に対する情報提供や報告に関しても窓口を一本化し、正しい情報の把握と管理をしなければいけません。一度漏えいを起こすと、隠避しようとする企業もあるかもしれませんが論外です。情報を公開することを前提とした対応が企業(組織)の信頼につながります。そして組織として協力しながら対応していくこと、日頃から事故や事件を想定して対策をすることの大切さを説明しています。
さいごに
悪意のない過失だからといって、決して企業の責任が軽くなるわけではありません。「ついうっかり」は、きちんと企業としてポリシーを定めて管理していないと起こってしまうインシデントです。情報漏えい対策は、「ひとつの対策を講じればそれで大丈夫」というものではありません。さまざまな状況で起こりうるミスやトラブルを想定して、それらを防ぐためにできることを多面的に実施することが大切です。