情報流出だけじゃない!情報管理に潜む風評被害の火種

情報流出は企業の評判に致命傷

いよいよマイナンバー法が施行され、番号の通知が始まりました。先日の調査では、国による個人情報の管理について「国民の約8割が不安」との結果が発表されました。このマイナンバーを取り扱うのは、国だけではありません。企業も個人番号関係実務実施者として取り扱うことになるわけです。データの重要性から考えても企業側のリスクは大きく、これまで以上の管理体制の構築や対策の必要があるようです。

これから増える知的財産侵害

警察庁によれば、企業などの2014年の知的財産権侵害事犯の検挙事件数は統計が残る1986年以降で最多となっています。知的財産権侵害というと、偽ブランドや海賊版などの著作権侵害に目が向いてウチには関係ないという顔をする人が多いですが、たとえば社員による転職先への顧客名簿の持ち出しも立派な知的財産権侵害に該当します。知的財産権侵害事犯の検挙事件数574事件のうち、営業秘密を持ち出した事件は、わずか11件ですが、その割には社会に大きなインパクトを与えているといえるでしょう。

ようやく対策に走る各企業

ベネッセの顧客流出事件以後、ようやく各企業がその内部情報の流出についての対策に本格的に動き出したという印象があります。多くの企業で最初に手をつけられたのは社内パソコンのセキュリティ強化でしょう。「私物メディアの使用禁止」「アクセス制限」などに加えて社内ルールの徹底が呼びかけられたはずです。これらのパソコンやスマホのルールの徹底、対策ソフトなどが必要不可欠なことはいうまでもありません。禁止動作を行ったら警告が出る、ログが残るなどで注意喚起を促すことは可能です。ただこの情報流出の課題については、社員の意識のほうにも目を向ける必要がありそうです。

データ持ち出し経験4割があり

09a946ef45def3068e6896e54788dca9_s
デジタルアーツ株式会社が2014年9月に全国の企業に勤める「従業員・情報システム担当者・経営陣を対象に、勤務先における情報漏洩対策の実態と意識について調査」を実施してその調査結果を発表しました。

それによると「勤務先の資料・データの持ち出し」は、全体の約4割が「経験あり」で、持ち出した資料・データの種類は、「企画書・提案資料」「会議の議事録」「事業計画・予算管理表」「顧客情報」「開発・製造に関連する資料」が挙がっています。貴社ではこれらの問題は起こっていないでしょうか。

そして、この調査結果から今後大問題に発展しそうなのが社員の意識で「勤務先の資料・データを持ち出すこと」に対して3割に近い人が罪悪感はないと回答していることなのです。別に悪いことには使わないからいいだろうという意識がこの数字に表れていると思います。ただ問題が起こったときに組織はいかなる言い訳もできません。信用も失墜します。情報漏えいは事が起これば、信頼の失墜に加えて対策コスト、人材採用コストが増加、ビジネス機会の損失がもれなくついてきて評判はひどく損なわれます。

社内および社員の意識の改善には時間がかかることを考えれば急がねばなりません。特に日本では「個人端末を業務で使っている割合」が約4割にのぼっています。社内で蓄積された情報は、重要性いかんにかかわらずいずれもコストがかかっているもののはずです。すなわち資産であり、財産です。そこが社内で共有、意識されないと情報漏えいはいつまでたっても止まらない。情報流出・漏えいが発覚すれば、貴社の情報の取り扱い、すなわち資産の取り扱い方の姿勢を世間にさらけ出します。その時に後悔するのは必定なのでいまから意識を高める活動を絶対にしておくべきでしょう。

情報漏えいの防止ポイント

では、なにを意識してやるべきか。すぐできることは明確で3つあります。1つめは適切な権限管理で、情報のアクセス権限を明確にすることです。2つめは、情報にアクセスした記録を残すこと、および情報にアクセスした人にその通知が届くことです。「あなたは今この情報にアクセスしました」という記録が残ることが一定の抑止力になります。監視カメラが設置されていると考えればわかりやすいですね。

3つめは、システム監視で、残した記録を2人以上の担当者が相互にチェックすること。要は、「いつ」「だれが」「なにを」見たかの記録があり、それをチェックする体制があるだけでも不自然な情報へのアクセスは減り、減ることで不正がより目立ち見つけやすくもなる。

火のないところに煙がたつ時代

f6eb2db0a68fa28bc77f979dc9f91edd_s
「○○ホテルに個人情報漏洩の疑いあり」あるホテルの口コミサイトでこんな書き込みを見かけました。連泊していた客が外出して戻ると閉じたはずのパソコンが開いていたそうです。不信感を抱いたお客は「個人情報漏洩の疑いあり」と口コミサイトに投稿したわけです。

ここでは真偽のほどはわかりませんが、問題なのはGoogle、Yahooといった検索エンジンで「〇〇ホテル口コミ」と検索したときに5位以内に表示されている事実です。このホテルの評判を知ろうと検索した人が「個人情報漏洩の疑いあり」といった情報を目にしたらどう思うでしょう?たとえ、事実無根であってもこのまま放っておけば風評被害につながります。このように情報漏洩が起きていないところにも疑いがかかることもあるという現実を知っておくべきです。

また、不正アクセスより、氏名、住所、クレジットカード番号などの個人情報が流出したといったニュースは後を絶ちません。今の時代、ネットで買い物をした直後から「覚えのないところから迷惑メール届くようになった」となれば必然的に情報漏洩を疑うわけです。よほどの確証があれば、運営会社にしかるべき対応を求めることもできるが、あくまで「もしかして?」の状況だと「○○からの個人情報漏洩の疑いあり」という投稿につながってしまう。風評被害の火種はそこら中に転がっているのです。

情報保護の管理方針を公表する

決してあってはならない情報漏えいを防ぐために、社内では個人情報保護の管理方針を定める。情報漏えいの疑いをかけられ、あらぬ風評被害に会社をさらさないために、利用者に対しては「利用目的」や「開示方法」などをはっきりと提示することで情報管理に関する不安や疑いを持たせない。この2つがセットになってはじめて会社の評判は守られます。とはいえ、いくら管理体制を整えたとしても管理するのは「人」であることを忘れてはいけません。社員1人1人が適切な管理を行えるよう、モラル面を含めた社員教育の徹底することも忘れてはなりません。

風評被害の教科書 の他の記事