情報の「管理ミス」の定義とは?
情報の「管理ミス」とは、具体的にどのような状態を指すのでしょうか?
↑NPO 日本ネットワークセキュリティ協会発表「2017年 情報セキュリティインシデントに関する調査報告書2017年【速報版】」より引用
企業の情報セキュリティ事情を毎年発表している「日本ネットワークセキュリティ協会」では、「管理ミス」の定義を次のように定めています。
社内や主要な流通経由において紛失・行方不明となった場合。
作業手順の誤りや、情報の公開、管理ルールが明確化されていなかったために業務上において漏洩した場合。
紛失の責任が組織にある場合。
この定義を社内の様子に当てはめてみると、
- 個人情報などの取り扱いに関するルールが一応あるが、日常的に守られていない
- 情報の管理に関するルールが浸透しておらず、知らない従業員が多い
- ルールが未整備で、情報の管理は各々自由におこなっている
- 情報の取り扱い手順がミスの起こりやすい複雑なものになっている
こんな環境下で業務がおこなわれている場合、情報漏洩のリスクが極めて高くなります。
何気なくやっている行動が「管理ミス」の場合も
やっかいなのが、情報漏洩につながりやすい行動を「自覚なく」おこなってしまっているケースです。
とくに情報セキュリティ専門の人材がいない企業の場合、「データの適切な取り扱いを誰も知らない状態」になります。
そうすると、なんとなくこんな感じで管理すれば大丈夫だろう・・・という、かなり心許ないルールで情報管理がおこなわれるのです。
管理ミスに当てはまる事例
- 重要情報が書かれた文書やデータを、許可なしで持ち出せる状態が日常的になっている
- 重要情報が誰でも簡単に閲覧できる状態になっている
- 重要情報を他の社員や委託先に受け渡す際、手順がとくに決まっていない
- 重要情報が書かれた文書が他の文書と同じ場所で管理され、誤って廃棄されやすい状態になっている
- USBや社用のノートパソコンなど、データが入った媒体の保管方法が決められていない
- 重要情報が書かれた文書や記憶装置(ハードディスクなど)を未処理で捨てている
- 私用の端末を許可なしで使える
一見仕事熱心に見えるこの場面も、情報の種類によっては漏洩すると大変なことになります。
日常のふとした行動の中に、管理ミスによる情報漏洩の危険性が隠れているのです。
管理ミスによる情報漏洩を防止する4つのステップ
「重要情報の管理についてルールを作りましたから、みなさん守りましょう!」
残念ながら、こんな呼びかけだけではルールは社内に浸透していきません。
むしろ、ルールで定めた情報管理の手順が手間のかかるものだった場合、社員の反発を招いて自己流の方法に流れる可能性もあります。
社内の重要情報を適切に管理する体制を整えるには、順番が大切です。
具体的には、次の4つのステップを踏んでいくことで管理体制が根付いていくようになります。
- 情報漏洩に対する社員教育の徹底
- 情報の管理をシンプルにしてミスを最小限にする仕組み作り
- 重要情報を管理するルールの作成と開示
- 記録を取りながらルールの運用
【STEP1】情報漏洩に対する社員教育の徹底
まず一番始めにおこなうべきなのが「情報セキュリティ教育」です。
社内情報の扱い方についてルールがあるのはなぜか?
まずは根っこの部分を全ての社員が理解できるよう、情報セキュリティへの知識を深める研修などを繰り返しおこなっていきます。
【社員教育で伝えた方がいい内容】
◆顧客情報などの社外秘データは「金銭目的で狙われている」という事実
ブラックマーケットでは、メールアドレスが1件数十円~、クレジットカード番号が1件数百円~で売り買いされています。
◆人的ミスが原因で、全国で毎日のように情報漏洩事故が起きているという事実
◆ありとあらゆる業種で情報漏洩事故が起きているという事実
※ 日本ネットワークセキュリティ協会発表「2017年 情報セキュリティインシデントに関する調査報告書2017年【速報版】」より
◆情報漏洩につながりやすい普段の何気ない行動の例
差出人不明のメールに添付されていたファイルを開く、セキュリティ性の低い公衆WiFiに社用のパソコンをつなぐ、プリントアウトした書類をすぐに取りに行かない、
など、普段の何気ない行動の多くに情報漏洩のきっかけが潜んでいます。
◆もしも情報漏洩事故が起きてしまったときの会社の損害賠償額や、その他負うべき責任
※ 日本ネットワークセキュリティ協会発表「2017年 情報セキュリティインシデントに関する調査報告書2017年【速報版】」より
情報漏洩事故が起こると、企業の信頼性にも大きく影響を及ぼします。
売上げ減少や銀行からの融資打ち切りなど、損害賠償以外でマイナスがあることも考えられます。
◆もしも情報漏洩事故を自分が起こしたときの損害賠償額や、その他負うべき責任
情報セキュリティ体制を強化している企業では、社員1人1人と「情報セキュリティに関する契約書」を交わしています。
万が一情報漏洩事故の原因を作った場合は、その責任を当の本人にも負ってもらうという内容です。
◆今の社内の情報セキュリティの状況や課題
現在の社内体制の中から「情報漏洩が起こりやすい場面や作業」を洗い出します。
その弱点をルールの徹底によって埋めていくという方向性を、社内全体で共有しましょう。
パソコンやスマホ、インターネットは身近で便利な存在ですが、裏側に多くのリスクがあることを多くの人は詳しく知りません。
そんな状態でいきなりルールだけ押しつけても、意味不明の校則と同じで反発が予想されます。
ルールは行動する理由とセットで初めて浸透していくものですから、最初にやるべきなのは「行動する理由を与えること」なのです。
リスクを認識してもらうこと、そして、普段取り扱っている社内情報はお金と同じで日々狙われているということ。
だから守る必要があるということ。
まずは情報セキュリティの必要性を、どの社員でも答えられるように教育していきましょう。
【STEP2】情報の管理をシンプルにしてミスを最小限にする仕組み作り
管理ミスによる情報漏洩は、情報のやりとりの手数の多さで起こることも多いです。
例えば、顧客情報を他の部署と共有するためにUSBに保存して持ち運んだとしましょう。
この一連の動作の中には、次のようなリスクが隠れています。
- ウイルスに感染したUSBを使った場合、つなげたパソコンから侵入される
- 持ち運ぶ最中にUSBを紛失する
- データが暗号化されていない場合、簡単にコピーされて出回る
- 渡された部署にてUSBを紛失する
データをコピー(出力)して、持ち運んで、渡して・・・といったように、人の手による作業が増えれば増えるほどミスの起こる確率は上がります。
ならば、余計な工程を削って、シンプルに情報を管理できる仕組みを作ってしまえばいいのです。
IT環境のコンサルをおこなっている弊社がよくおすすめするのが、「ファイルサーバーによる社内ネットワークの構築」です!
ファイルサーバーによる社内ネットワークの構築とは
重要情報をファイルサーバーに集約して保管し、1人1人の端末やUSBなどの記憶媒体には保存しないようにします。
情報の閲覧や編集は、各々が許可された端末でファイルサーバーにログインすれば可能です。
誰かと情報共有したい場合には「サーバーの中の〇〇という名前のファイルを見て」と伝えるだけで済みます。
わざわざUSBなどにコピーせずとも情報共有ができるため、持ち運び中の紛失などを防ぐことができます。
ファイルサーバーには、誰がどのデータまで閲覧可能か権限を指定できる「アクセス制限機能」が付いています。
データの重要度に合わせて設定しておけば、内部犯行防止にも役立ちます。
また、データをなるべく印刷せずに端末上での閲覧(ペーパーレス)を心がければ、「重要情報が書かれた紙文書をなくした、誤って捨ててしまった」というミスも減らすことができます。
セキュリティ性の高い容れ物であるファイルサーバーで一括管理し、そこにアクセスさせるという仕組みを作れば、情報の管理体制はかなりシンプルにできます!
余計なやりとりがなくなる分、人的ミスの減少につながりますよ。
※情報管理の仕組みづくりについては、こちらの記事でも詳しく解説しています↓
>>会社のセキュリティ対策を強化!情報漏洩で泣かないオフィスにするには
【STEP3】重要情報を管理するルールの作成と開示
1人1人への意識付けと情報管理の仕組みが整ってきたら、いよいよルール決めと開示です。
重要情報の取り扱いから通信端末の適切な使い方まで、細かくルールを決めて運用を開始していきましょう。
具体的には、次のようなルールを定めていくといいでしょう。
◆社外で情報を利用する際のルール
- 情報の持ち出しは原則禁止(やむを得ず持ち出す場合は承認制にする)
- ノートパソコンやタブレットなどの携帯端末にはログインパスワードを設定する
- 社用のノートパソコンを持ち出す場合は承認制にする
- 人の目に触れやすい場所で情報を開かない
- セキュリティ性の低い公衆WiFiなどを使ってインターネットに接続しない
- 盗難や紛失を防ぐため、情報や端末は肌身離さず持っておく
- デジタル情報は暗号化する
◆情報を送信する際のルール
- 宛先やTo、Cc、Bccの使い分けなどに間違いがないか二重チェックする
- メールの場合、本文に個人情報を載せないようにする
- 添付ファイルは暗号化し、解凍するためのパスワードは分けて送る(メールで添付ファイルを送り、パスワードは電話で伝えるなど)
※【参考】メールからの情報漏洩を防止する!今すぐやるべき7つの具体的対策
◆インターネット使用時のルール
- 社用のパソコンで業務に関係のないWEBサイトの閲覧はしない
- 無断でフリーソフトのダウンロードをしない
- ファイル交換ソフトを使わない
- 差出人不明のメールは開かない
◆私用の端末についてのルール
- 私用の端末を会社のネットワークにつなげることは原則禁止
- 私用のUSBはつながない
- 私用の端末に勝手に情報を転送しない
◆その他セキュリティ対策に関するルール
- パソコンのOSのアップデートは定期的におこなう
- 各種ログインパスワードは推測しにくいものにする
- 社用のノートパソコンなどは鍵のかかる場所で保管する
社内の状況に合わせて、項目の増減やさらに詳しいルールの取り決めなどをおこないましょう。
【STEP4】記録を取りながらルールの運用
情報管理の仕組みやルールを本格的に動かし始めたら、記録を取りながら状況を確認していきましょう。
記録を取る目的は、ルールを無視した自己流の情報管理が広まるのを防ぐためです。
先に説明したファイルサーバーであれば、ログを見れば「誰が、いつ、どのデータにアクセスしたか?」が分かります。
機種にもよりますが、情報を印刷するのによく使う複合機でも「誰が、いつ、どんなデータを印刷したか?(FAX送信したか?)」などのログが取れます。
情報漏洩に対する教育と共に、チェック体制も整えば「自分ひとりくらいルールを守らなくても大丈夫だろう・・・」と油断する社員を減らすことができます。
きちんと業務に反映されるよう、継続的なチェックは欠かせませんよ。
まとめ
「ちょっとした手違いで・・・」
「この情報がそんなに重要だとは思っていなくて・・・」
管理ミスによる情報漏洩は多くの場合、人の意識の低さから起こります。
ですがそれは責められるものではなく、「情報漏洩に対して学ぶ機会がなかった」から意識が低いのです。
年々増えてきている情報漏洩事故を防ぐには、まずは情報セキュリティの知識レベルを上げることが重要です。
その上に仕組みやルールが乗っかり、ようやくリスクを減らすことができます。
情報管理の手順や仕組みに不安を覚えているならば、
- 情報漏洩に対する社員教育の徹底
- 情報の管理をシンプルにしてミスを最小限にする仕組み作り
- 重要情報を管理するルールの作成と開示
- 記録を取りながらルールの運用
のステップを意識して、すぐに行動を起こしていきましょう!
社内に人材がいなくてお困りの方は、まずは無料相談でお悩みをお聞かせください!
今回は「管理ミス」による情報漏洩の事例を紹介しながら、防止対策をお伝えします!
具体的にどのような行動が管理ミスにつながるのか?
情報の管理ミスによる外部への漏洩を防ぐには、どんな対策を取っていけばいいのか?
日頃何気なくやっている作業が、管理ミスの引き金になるかもしれません。
あなたのオフィスの様子に照らし合わせながら、この先を読んでいってください!