情報漏洩対策で企業がやるべきこととは?運用のポイントや事例と併せて解説

情報漏洩対策で企業がやるべきこととは?運用のポイントや事例と併せて解説

近年は様々な分野でデジタル化が進められていますが、その反面で情報漏洩が発生しやすくなってきました。外部からの攻撃や従業員の作業ミス、システムの不備などで情報漏洩が発生してしまいます。重要な情報が漏洩すると企業活動に影響するだけではなく、メディアで報じられるなど、社会的な信用力にも影響しかねません。今回はこのような情報漏洩を発生させないためにも、企業が実施すべき情報漏洩対策について順番に解説します。

情報漏洩が発生する理由

定期的に情報漏洩がメディアで報道されますが「なぜ漏洩してしまうのか」を理解できていない人も多いでしょう。理由としては下記が考えられます。

  • 外部からの攻撃
  • 内部不正
  • 誤操作・誤廃棄
  • 盗難

まずは情報漏洩が発生する理由について解説します。

外部からの攻撃

情報漏洩の理由として、有名かつ多いものは外部からの攻撃です。一般的にはサイバー攻撃と呼ばれるもので、漏洩の代表例としてイメージする人は多いのではないでしょうか。大手企業へのサイバー攻撃はもちろん、中小企業へのサイバー攻撃なども確認されています。サイバー攻撃の目的は多岐にわたりますが、情報漏洩を目的としているものは多い状況です。

内部不正

従業員や関係者など内部の不正によって情報漏洩が発生することがあります。基本的には悪意を持って情報を流出させた人がいると理解すればよいでしょう。大半の従業員はルールを守って機密情報を扱っていますが、中にはルールを破る人が含まれる可能性があるため、情報漏洩対策が必要となってしまいます。

例えば、取引先の情報データを集約し、外部に持ち出す人がいるかもしれません。他にも、製品の製造方法に関する秘密を持ち出す人が内部に潜んでいることも考えられます。このような状況はいつ発生するか判断できないため、万が一に備えた対策を考慮しておかなければなりません。

誤操作・誤廃棄

従業員や関係者に悪意がなくとも誤操作や誤廃棄によって情報漏洩が発生することがあります。例えば、メールの送付先を間違えてしまうことで、重要な情報を公開してしまい、そこから情報漏洩が発生するなどです。大規模な情報漏洩ではなく、小規模な情報漏洩はいつでも発生するリスクがあると考えましょう。

また、重要な情報を誤って廃棄することによっても、情報漏洩が発生しかねません。例えば、不要な書類の中に必要な書類が含まれていることに気づかず、そのまま廃棄してしまう可能性があります。廃棄された情報を閲覧した第三者が情報を公開し、そこから情報漏洩が発生するかもしれません。

盗難

重要な情報が盗難に遭ってしまうことによって、情報漏洩が発生することがあります。これは過失がある場合と過失がない場合があるため、どちらも注意すべきです。

まず、過失がない場合は、事務所の金庫を壊されるなど、セキュリティ対策を施しているにも関わらず情報漏洩する場合です。これは犯罪行為の結果として、情報漏洩が発生しているため、ある程度はやむを得ないと考えられます。次に、過失がある場合は、重要な情報が含まれたパソコンを紛失してしまうなどです。例えば、飲み会の際にパソコンを持ち出して、そのまま公園で寝てしまい、盗難されてしまうなどが考えられます。

テレワークの普及により新たな形態の情報漏洩も発生

テレワークが普及したことにより、新しい情報漏洩も増えるようになってしまいました。例えば、カメラを利用したWeb会議において、機密情報が含まれた資料や画面が映り込んでしまうなどです。

従来は発生しなかったような形態で情報漏洩が発生しています。このような状況が発生していることを正しく認識し、今までよりも広い視点で情報漏洩対策を施すことを心がけましょう。

企業が実施すべき情報漏洩対策6選

漏洩対策として、企業が実施すべきことは数多くあります。それらの中でも、企業の担当者が積極的に導入すべきものをピックアップして紹介すると以下のとおりです。

  • 情報の持ち出しを禁止
  • 情報資産の管理ルールを制定
  • 各種デバイスの制限を強化
  • セキュリティ対策ソリューションの導入
  • ITリテラシーの向上に向けた教育
  • 情報の公開手順を確認

詳細をご説明いたします。

情報の持ち出しを禁止

情報漏洩は情報の持ち出しによって起こるため、必要以上に持ち出さないように禁止しましょう。例えば、会議資料の持ち出しを禁止して、社内だけで確認するルールに変更します。これによって、書類の紛失などによる情報漏洩を防ぎやすくなるでしょう。

もちろん、情報を持ち出すことはあると考えられるため、一律に禁止すると業務に支障をきたす可能性があります。以下で解説しますが、ルールを定めてそれに沿った禁止や許可を判断する運用としましょう。

情報資産の管理ルールを制定

情報資産の管理ルールは明確化しておくことが大切です。現時点でルールが存在しないならば、できるだけ早く制定していきましょう。

例えば、個人情報は業務で必要とする人だけが閲覧できるようにすべきです。そのため、個人情報管理者を設定して、必要以上に閲覧できないような仕組みづくりが求められます。また、個人情報をシステムで管理しているならば、特定の人物しか閲覧できないように権限設定するなどの作業も必要でしょう。システム的に情報の管理ルールを定めておくと安心です。

なお、ルールは一律ではなく対象となる資産によって変化させる必要があります。上記のような個人情報と製造に関する秘密は取り扱いが異なるでしょう。

各種デバイスの制限を強化

各種デバイスに制限を設けて、情報漏洩を防ぐことを心がけましょう。デバイスを購入したまま利用している組織は多く見受けられますが、さまざまな制限を強化すべきです。

例えば、自由にソフトウェアをインストールできないように制限します。これによって、承認されていないアプリをインストールできなくなるため、ウイルスへの感染による情報漏洩などを防げるはずです。アプリの中にはマルウェアを含むものが存在するため、これらのインストールを防ぐことによって、セキュリティリスクを下げられます。

また、複雑なパスワードを必須にすることで、デバイスを紛失してもログインされる可能性を下げられます。 仮に紛失してしまっても、内容を閲覧できなければ、情報漏洩が発生しづらいため、ログインできないような状況を生み出すべきです。これらは一例ですが、業務に大きな支障を与えない範囲で強化することによって、情報漏洩対策ができます。

セキュリティ対策ソリューションの導入

可能な限りセキュリティ対策ソリューションを導入しましょう。一般的にはウイルス対策ソフトと呼ばれるものですが、それら以外にも、UTMなどのソリューションが存在します。これらを導入することによって、外部からの攻撃を回避したり、誤って情報を流出させたりすることを避けられる仕組みです。

情報漏洩対策では、人間が注意すべき部分が大きいですが、何かしらのミスを犯してしまう可能性はあります。そのため、人間だけで情報漏洩を完全に防ぐことは不可能であると考えたほうが良いでしょう。システム的に情報を守ることが求められ、それに適したソリューションの導入も求められます。

ITリテラシーの向上に向けた教育

組織として、ITリテラシーを高めるために教育に力を入れましょう。例えば、不審な宛先から送られてきたメールは開かないようにすることを教育で指導します。情報漏洩対策の一環でやるべき行動については、意外と従業員が理解できていないものです。そのため、専用の学習サイトなどを利用して、情報リテラシーを高めてもらうと良いでしょう。

なお、自社で作成する必要はなく、外部の資料を利用することをおすすめします。作成すると負荷が高まってしまうため、多少のコストは許容して品質の高い資料を手に入れましょう。

情報の公開手順を確認

何かしら情報を公開する必要がある際は、手順を確認させるようにしましょう。自由に情報を公開させると、重要な情報や期日前の情報まで公開されてしまうかもしれません。そのような状況を避けるようにすべきです。

例えば、機密事項に関する情報を公開する際は、必ず上長に承認してもらう段取りとします。また、上長でも判断できない場合は、専門の部門で判断する段取りとすべきです。これらを手順化しておき、従業員が何かしら公開する必要がある場合は、その手順を確認してもらうようにします。

情報漏洩対策を成功させるためのポイント4つ

情報漏洩対策をどんなに考えても、それを成功させるためのポイントを踏まえなければ失敗に終わってしまいます。そのため、必ず以下のポイントを考慮するようにしましょう。

  • 多層防御の導入
  • 全従業員への周知
  • IT資産のアップデート
  • 定期的なルールの見直し

情報漏洩対策を成功させるためのポイント4つについて解説いたします。

多層防御の導入

情報の漏洩対策を導入する際は、多層防御を意識することが重要です。これは簡単に述べるならば、一種類の情報漏洩対策を導入するのではなく、複数種類の対策を導入するということです。人間は何かしらのミスを犯してしまう可能性があるため、システムと組み合わせるなど複数の対策によって、情報漏洩が発生しないようにします。

例えば、人間がミスしないように教育する必要はありますが、加えてシステム的にも情報漏洩が発生しないような仕組みを導入します。これによって人間によるチェックとシステムによるチェックの2種類を実現できるため、情報漏洩をより防止しやすくなるという仕組みです。

また、システムにはいくつもの種類があるため、情報漏洩対策に関連するものをいくつか導入すれば、より強靭な情報漏洩対策を実現できます。

全従業員への周知

対策の内容は、全従業員への周知が重要です。担当者が情報漏洩を防止するための対策を考えても、従業員がその内容を理解していなければ意味はありません。例えば、情報漏洩を防ぐために新たなルールを設けても、それを理解していない従業員が過ちを犯せば情報漏洩が発生します。

ここで重要なポイントは、すべての従業員に徹底するということです。極端な例ですが、たった1人の従業員が理解せずに、情報漏洩を犯してしまうと、それだけで組織としての信頼は失墜してしまいます。小さなミスが社会的に大きな問題となりかねないため、必ずすべての従業員に情報漏洩対策の内容を理解させることが重要です。

IT資産のアップデート

社内に導入されているIT資産は定期的なアップデートを心がけましょう。古いものを継続的に利用していると、外部からサイバー攻撃を受ける原因となりかねません。例えば、Windowsのパソコンを導入しているならば定期的にWindows Updateを実施することが重要です。

セキュリティに関連するアップデートが含まれているため、定期的なアップデートによってパソコンを最新化しておけば、情報漏洩に繋がる攻撃を防ぎやすくなります。また、パソコン以外にも、スマートフォンやタブレット、社内で利用しているサーバーなど、すべてのIT資産についてアップデートしたり、最新化したりすることを心がけると良いでしょう。

定期的なルールの見直し

サイバー攻撃は多様化するなど、情報漏洩の原因は常に変動しています。そのため、情報漏洩対策についても定期的にルールなどを見直して、必要に応じて改訂しなければなりません。一度作成しただけで、放置してしまうと意味のない情報漏洩対策になってしまう可能性があります。

例えば、近年であれば、テレワークや在宅での仕事と出社しての仕事が混在するようになっています。このような状況では、出社だけを前提とした情報漏洩対策は意味が薄れてしまうでしょう。自宅やその他の場所で業務を遂行する前提で、ルールを考え直さなければなりません。社会情勢の変化や社内ルールの変化、法律の改正などさまざまな要素をルールに反映することが重要です。

会社の情報漏洩対策はPCホスピタルにお任せください

情報漏洩対策の重要性を理解しても、具体的にどのようなソリューションを導入すべきかイメージできないかもしれません。

その場合は、ぜひともPCホスピタルへご相談ください。皆様の情報をヒアリングして、最適なセキュリティ対策ソリューションを提案します。

パソコンへのウイルス対策ソフトのインストールからUTMなどの機器導入までPCホスピタルにお任せください。

PCホスピタルに会社の情報漏洩対策を依頼する
上部へ
戻る
出張地域・近隣店舗を確認する連絡先に追加する
上部へ
戻る