fbpx

お知らせ

コーポレート・レピュテーション その50

米紙ニューヨーク・タイムズが「子どもっぽい新兵が中国軍近代化の障害に」という記事を掲載したというニュースがありました。

甘ったれの一人っ子兵士が主力 中国軍のアキレス腱に―米紙Record China 2月22日(日)

2015年2月17日、米紙ニューヨーク・タイムズは記事「子どもっぽい新兵が中国軍近代化の障害に」を掲載した。20日付で参考消息網が伝えた。

高校を卒業したての18歳の若者を精強な軍人に育てる…。

どの国にとっても困難なタスクだが、中国ではなおさらだ。長く続く一人っ子政策は両親の愛を一身に受けて甘やかされた子供たちを生み出した。

今や人民解放軍の70%、実戦部隊の80%が一人っ子だ。

米ランド研究所によると、こうした弱点は中国軍にもよく認識されているという。軍機関紙は、泣き虫の兵士や規則を破り彼女に携帯メールを送る兵士がいると嘆く記事を掲載している。(翻訳・編集/増田聡太郎)

「一人っ子」を一律に「甘やかされて育てられた」とするのはステレオタイプの見方のように思えます。

ただ「一人っ子」が組織全体の7割とか8割を占める、つまりある類似のグループが組織の大多数を占めると、それは組織全体の傾向や雰囲気には影響が出るのではないでしょうか。

似たような環境で育ち、ある種1つの方向に集約しやすいということがあるかもしれないし、そのことがかえって組織を弱体化させる要因にもなりえる。

いずれもメリットでメリットがある話だと思いますが、そういう視点で組織を眺めてみるのもおもしろいかもしれませんね。

国立社会保障・人口問題研究所の「夫婦の出生力」によれば、
www.ipss.go.jp/ps-doukou/j/doukou14/chapter2.html

出生数 1977調査 →2010年

0人 3.0% →6.4%

1人 11.0% →15.9%

2人 57.0% →56.2%

3人 23.8% →19.4%

4人以上 5.1% →2.2%

日本の現況は、1977年の調査以降は、半数を超える夫婦が2人の子どもを生んでいますが、2010年の調査ではじめて子供2人未満が2割を超え、3人以上の子供を生んだ夫婦は減っており、出生子供数3人の割合は2割を下回ったようです。

日本のようにこうして徐々に変化していった場合は中国の軍隊ほど変化が顕著でないので中国の軍隊のような分析はなかな出しにくい、見えにくいのかもしれませんね。

日本でこうしたことを分析するなら、社員の第一子、第二子・・・などに分類しその比率を出してみると、組織の傾向などでおもしろい傾向が出るかもしれませんね。

コーポレート・レピュテーション その50

読売新聞が「深刻度増すデータ持ち出し」として以下のような記事を配信しています。

読売新聞 2月26日(木)

警察庁は26日、企業などの知的財産権を侵害したとして、全国の警察が昨年1年間に摘発した事件が前年より50件増の574件で、統計が残る1986年以降で最多だったと発表した。

警察庁によると、転職先で使うため、顧客名簿を持ち出すケースが目立つという。同庁幹部は「大量のデジタルデータを持ち出しており、被害の深刻度が増している」と分析する。

このうち営業秘密を持ち出した事件は11件、営業秘密侵害事件の摘発者数は13人ということです。

これらには、ここで何回か触れたベネッセコーポレーションの顧客情報流出事件のほか、研究データを韓国企業に持ち込んだとして東芝の提携先企業の元技術者が不正競争防止法違反(営業秘密開示)で逮捕・起訴された事件などが含まれているとか。

ベネッセの顧客流出事件以後、ようやく各企業がその内部情報の流出についての対策に本格的に動き出したという印象があります。

そこで最初に手をつけられるのがパソコンのセキュリティ強化でしょうか。

各種ソフトが出ていますが、その機能は

・私物メディアの使用禁止組織内で許可されていない外部メディアについて、読み込み以外の操作を禁止

・アクセス制限リムーバブル媒体やネットワークドライブへのコピーや、ファイル作成などを禁止

・禁止動作アプリケーションのインストールや、パソコンの環境設定の変更などを禁止

・印刷禁止アプリケーション単位で印刷を制限

・ファイルアクセスログ任意のフォルダ・ドライブ・共有フォルダ・ネットワークドライブ・リムーバブル媒体に対するユーザーのアクセス状況を記録

・ドライブマウントログドライブのマウント状況を記録します。

などが一般的なようです。

また、パソコンだけでなく普及率の高いスマホ対策も急務なようです。

【情報漏洩対策】スマートフォンによるデータ持ち出しの脅威と対策
www.ashisuto.co.jp/product/theme/security/smartphone_risk.html

また、こうした情報の社外流出についての各種対策も講じられ始めています。

社外へのデータの持ち出しを防ぐ10の方法文:Debra Littlejohn Shinder 翻訳校正:石橋啓一郎
builder.japan.zdnet.com/tool/20411591/1/

1.最小特権の原則を適用し、ポリシーを明文化する

2.アクセス許可を限定的に設定し、アクセスを監査する

3.暗号化する

4.アクセス権管理技術を使う

5.リムーバブルメディアの使用を制限する

6.ラップトップの使用を管理する

7.社外に送信されるコンテンツに関するルールを設定する

8.無線通信を管理する

9.リモート接続を管理する

10.独創的なデータ盗難の手法に注意する

上記のようなルールが御社社内でも連呼されたり、徹底を呼びかけられたりしているでしょうか。

もちろんこれらのパソコンやスマホのルールの徹底、対策ソフトなどが必要不可欠なことはいうまでもありません。禁止動作を行って警告が出る、ログが残るなどで注意を喚起を促せますことは可能です。

ただこの情報流出の課題については、社員の意識のほうにも目を向ける必要がありそうです。

デジタルアーツ株式会社が昨年2014年9月に全国の企業に勤める従業員・情報システム担当者・経営陣1,648名を対象に、勤務先における情報漏洩対策の実態と意識について調査を実施してその調査結果を発表しました。

それによると、

「企業における情報漏洩対策の実態と意識調査」
www.daj.jp/company/release/data/2014/091701_reference.pdf

勤務先の資料・データの持ち出しは、全体の39.6%が経験あり。

持ち出した資料・データの種類は、

「企画書・提案資料」46.0%

「会議の議事録」32.4%

「事業計画・予算管理表」22.5%

「顧客情報」21.8%

「開発・製造に関連する資料」20.2%

かなり高い比率ではないでしょうか。

そして、その持ち出しについて

勤務先の資料・データを持ち出すことへの罪悪感は、全体で29.2%が「特にない」と回答。

3割に近い人が罪悪感はないと答えているわけです。

日本においては「善意」というのが強く信じられており、なおかつそれが大半では守られているのが現状でしょう。

決して悪いことには使わないんだ!という意識がこの数字に表れているとは考えられないでしょうか。実際にそうなのだろうと思います。

ただ問題が起こったときに組織はいかなる言い訳もできません。信用も失墜します。そのあたりをどう考えるべきか。

調査結果に戻ると、

「企業における情報漏洩対策の実態と意識調査」
www.daj.jp/company/release/data/2014/091701_reference.pdf

持ち出し方

USB等の「記録メディアに保存」72.4%

「Webメールに添付して自分宛に送信」21.8%

「勤務先のメールに添付して自分宛に送信」18.7%

既にUSBポートを潰している企業は相当数に上るものと推察されますが、メールでのデータ持ち出しについても、今後は監視ソフトが入っていない企業などない!というほどに、普及率は上がるのではないでしょうか。

日本特徴がよく現れているのが以下の数字ですね。

従業員全体で個人端末を業務で使っている割合は41.7%。

また、個人端末の業務利用において、「許可されている」35.6%、「禁止されている」24.4%、「許可も禁止もされていない」40.0%

その中で、Webサービス・アプリの使用率は58.6%で、「Gmail」40.1%、「Yahoo!メール」30.2%、「LINE」22.2%を良く使用している。

これからは仕事で使う端末は会社支給となって、個人のものを使うことも徐々に少なくなっていくでしょう。

よって個人端末の業務利用は「禁止」の方向に動いていくことになると思われます。

そして、この調査結果で注目してほしいのが

企業の経営陣・情報システム担当者が情報漏洩を経験した割合は17.6%。

その内訳は、「内部によるメール誤送信」40.4%、「内部によるデータ持ち出し」38.5%、「外部からのサイバー攻撃」21.1%。

情報漏えいの経験比率はそれほど高くないですが、その情報漏えいの要因で「内部によるメール誤送信」が最も高い比率になっていることです。

「内部によるデータ持ち出し」よりも「誤送信」のほうの比率のほうが高い。つまり情報流出問題は1にも2にも内部問題と考えていいということです。

そして、こうして情報漏えいした結果

情報漏洩被害が経営にどのような悪影響を及ぼしたかについては

「信頼の失墜」37.6%「対策コストの増加」25.7%「ビジネス機会の損失」18.3%

実際に行っている情報漏洩対策は、

「外部からのサイバー攻撃、ウイルス等の入り口対策」74.4%

内部からの情報漏洩に有効な対策は、「Webサービスの使用制限・監視」40.3%、「ファイル送受信時の暗号化対策」36.6%、「電子メールの誤送信対策・監視」29.3%

もう1つこの調査結果で注目してほしいのが

経営陣が抱える経営課題全体の中で、他の課題と比較して

情報セキュリティリスクを「非常に重要である」と回答した割合は低く、

「外部からの情報セキュリティリスク軽減」17.8%、「内部からの情報セキュリティリスク軽減」12.9%となった。

デジタルアーツ株式会社は調査結果について

◆日本の企業経営において、情報漏洩対策が経営課題の中で最重要課題として重要視されていない

◆経営陣自らのセキュリティ意識を高める必要がある

◆外部からのサイバー攻撃対策も重要ですが、内部からの情報漏洩対策がより現実的で重要であり、まず取り組むべき課題と言える

とまとめています。

これらの点をまとめて報告しているのが日立システムアンドサービスの資料で、

ヒューマンエラーによる機密データの 持ち出しを防止する仕組みとは
www.hitachi-solutions.co.jp/forum/nagoya/vol6/pdf/pbf_nagoya06_2.pdf

情報漏えいの原因の約8割は「内部の人」が原因

このうち、内部犯罪、不正持ち出しは4・9%

では大きな要因は何か?

誤操作34.4%

紛失・置き忘れ等23.3%

盗難16.3%

管理ミス・設定ミス15.2%

このように内部の人間による判断ミス、不注意、操作ミス、これに加えて規則違反や管理不備が重なった結果起きているのが今の日本での情報流出のほとんどすべてということです。

日立システムアンドサービスの資料では、そうした観点から「我が社のソリューション・商品」をということになっているのですが、それはさておきこの問題の本質を間違えるとコストがかかったのに成果が見えないということになりかねません。

あらゆる対策ができる組織はそうしたらいいですが、対策にも優先順位があり、コストを勘案しながら優先順位の高いものから処置していくのが鉄則です。

その優先順位を決めていくときに、

情報漏えいの原因の約8割は「内部の人」が原因

で、まず持って問題にすべきことは比率からいっても「内部犯罪、不正持ち出し」ではなく、「誤操作」「紛失・置き忘れ等」「盗難」「管理ミス・設定ミス」が最優先ということです。

それを抜きにして「内部犯罪、不正持ち出し」のみに目が行くと、あなたの組織の情報流出は大きな問題にならなくても止まらないということになるでしょう。

その上で、IPA(独立行政法人 情報処理推進機構)は内部不正防止のポイントとして、下記を挙げています。
www.ipa.go.jp/files/000041054.pdf

1適切な権限管理
・特定のシステム管理者に権限が集中しないように権限を分散する。
・システム管理者同士が相互に監視し、不正を行うことが困難な環境を作る。

2ログの記録と従業員への通知(内部監視)
・システム管理者のログは、システム管理者以外の者が定期的に確認し監視する。
・不正抑止の観点から、業務担当者にはログが記録されていることを予め通知する。

3職場環境や処遇の見直し
・適正な労働環境
・良好なコミュニケーション
・公平な人事評価

1と2は当然としても、関係ないと思われる3番が入っているのがミソですね。

情報流出とは趣を異にしますが、このような事件が相変わらず頻発するのは、

横浜地検は5日、勤務していたNTT子会社「NTTアドバンステクノロジ」の労働組合の組合費約3千万円を着服したとして、業務上横領容疑で住所不詳、元社員を逮捕した。

逮捕容疑は平成25年11月?26年5月、63回にわたって組合名義の口座から計約3千万円を不正に引き出して横領した疑い。昨年10月、組合が地検に告訴していた。

同社によると、容疑者は組合の財務を担当し、1人で通帳とキャッシュカードを管理していた。組合の内部監査で口座の額が減っていることが分かり、容疑者が「ギャンブルに使った」と使い込みを認めたという。同社は昨年9月に懲戒解雇した。

先のIPAが示す「内部不正防止のポイント」の1番と2番の観点がまるでできていないから起こりうることでしょう。

「誤操作」「紛失・置き忘れ等」「盗難」「管理ミス・設定ミス」はどの組織でも、いかに管理していようが起こりえます。

ミスは1回であれば問題になりませんが、2回連続で起こればクレームになるといわれます。

チェックする体制、たったこれだけを意識するだけでずいぶん変わってくるのではないでしょうかね。それにかかってくるコストは情報流出したときの損害に比べればはるかに少ないのですから。

情報流出に関しては「内部犯罪、不正持ち出し」のみの対策に偏ることなく、実施してもらいたいものです。

関連記事

ページ上部へ戻る