セキュリティー対策は万全？大切なのは、情報の定義。２分でわかる情報漏洩対策チェックシート

◆情報漏えいの怖さ

世の中では、たびたび企業の機密情報が漏れて騒ぎになっている。特に個人が特定できる「個人情報」が大量に漏れた場合、 企業は多額の損害賠償を支払うことが慣例になっており、場合によっては数億円の費用がかかっている。また企業イメージの悪化や信用低下も避けられないため、お金の問題だけではなく、企業ブランドそのものが揺らぐ大事故と言えるだろう。

◆国が推奨する「情報セキュリティ5ヵ条」とは？

それでは、情報を守るためにはどうすればよいのだろうか？国の機関であるIPA（独立行政法人・情報処理推進機構）では、次の「情報セキュリティ5ヵ条」を勧めている。

・世の中の情報漏えい対策 1.OSやソフトウェアは常に最新の状態にしよう 2.ウィルス対策ソフトを導入しよう 3.パスワードを強化しよう 4.共有設定を見直そう 5.脅威や攻撃の手口を知ろう もちろんこれらはとても重要な対策だが、実は情報を漏らすのはコンピューターなどの機械ではなく、「人のうっかり」が大部分を占めている。

・情報をもらすのは機械ではなく人 NPO日本ネットワークセキュリティ協会がまとめた情報漏えいの原因（2018年）によると、386件のセキュリティ事故に対して、「誤操作」が25.1%、「紛失・置き忘れ」が21.8％、「管理ミス」が13.0％など、漏えい原因の約7割が組織内の人的ミスや不正だ。

これを防ぐためには、従業員ひとりひとりが危機感を持って情報を扱う意識と体制が必要である。

・あなたの会社は「秘密にする情報」を持っている？ それでは、具体的にはどのように対策を進めればよいのだろうか？人は「危ない」と思わない限り対策をしようとはしない。つまり、もっとも重要なことは、情報を扱う従業員が、「これはちゃんと扱わないと危ないな」と思うことである。

情報を「ちゃんと扱う」とは、従業員が「漏れてはいけない情報として何を持っているか」を知っていて、かつ「その情報が漏れないように扱う」ことができていること。そのためには、まず次のようなこと（一例）を知っておく必要がある。

・自分たちはどのような情報を持っているか？ 従業員のマイナンバー、お客様の個人情報、自社の営業秘密、など

・その情報は誰から預かっているか？ マイナンバー：従業員 個人情報：お客様、取引先、従業員、など 営業秘密：自社

・その情報が漏れると誰にどんな迷惑がかかるか？ クレジットカード番号が漏れて悪用される、自社の営業秘密が漏れて競争力が無くなる、など

・その情報は誰が管理しているのか？ 営業部、総務部、IT部、など

・その情報はどのように使われるのか？ サーバーからダウンロードされて従業員のパソコンでラベル印刷をする、など

◆情報漏えい対策の基本5カ条とは？

「秘密にする情報」を明らかにした上で、次のような対策をおすすめしたい。いずれも「人のうっかり」をなくすための対策である。

基本（1）　 専門家に依頼して情報セキュリティ教育をする まずは情報セキュリティの基礎知識を持つことが重要。「知識のワクチン」はもっとも効果のある対策である。

基本（2）　何を何から守るのか？と決める 「秘密にする情報」が漏れる原因は「うっかり」なのか「悪意」なのか、はたまた「ハッキング」なのかを明らかにして、対策の方針を決める。

基本（3）　守るべき情報がどこにあるかを知る その情報は、従業員のパソコンに入っているのか、お客様に書いてもらった紙なのか、インターネット上のサーバーなのかによって対策が変わる。

基本（4）その情報が使われる仕事の流れを知る 情報を扱う仕事のステップを洗い出す。パソコンを使ってインターネットで送ったり、紙に書かれた情報を移動させたりなど、仕事の流れの中に漏えいポイントが潜んでいる。

基本（5）　情報を利用する場所・機器のセキュリティ対策をする これは一例だが、お客様情報が書かれたファイルを施錠して保管、サーバールームに入れる従業員を制限、パソコンに3重のロックなど、個別の漏えい対策を強化。

自分自身の所属する会社や団体の情報管理の状況と照らし合わせてみて、不安なポイントはあっただろうか？　もし見つかったなら、情報漏えいが起こる前に対策を検討してみることをおすすめしたい。機械はもちろん、それを扱う人こそ情報漏えいの可能性があるという視点から、チェックを忘れずに。