定期的に様々な企業で情報漏洩事件のニュースが報道されていますが
なぜ情報漏洩は起きるのか、原因を知ることでトラブルを回避することに役立ちます。

ECサイトなどを始め、顧客情報を預かる企業による情報漏洩は企業イメージのダウンや
顧客喪失など実益を大きく損なう避けるべき事案となります。

自分たち企業はもちろん、第一に顧客を守るために知っておくことは何よりも重要です。

情報漏洩とは

情報漏洩とは所有している機密情報や個人情報など企業が
保有している重要データが外部に漏れてしまう事を指します。

現代社会においてPCなどのデジタル機器は全てインターネットに繋がって利用されている為
管理や運用が便利になった反面、管理する情報量や扱う人員も増えて漏洩するリスクが
一昔前より格段に増加しています。

情報漏洩には「人為的なミス」「意図的な漏洩」「外部攻撃」の3つに分類することができます。

情報漏洩のリスクを完全に無くすことは難しい

情報漏洩の種類

前述した情報漏洩は3つに分類できます。
各項目がどの様なものかを分かりやすく解説します。

人為的なミス

この情報漏洩は重要なデータが入った端末や書類などの「置き忘れ」「紛失」
不注意でSNSや不特定多数が集まる場所での「会話」や「SNS発信」
操作ミスによる「メール誤操作」

意図的な漏洩

重要な情報などを様々な理由で漏洩させる「不正に持ち出し」「不正操作」

外部攻撃

悪意あるソフトウェアによるウイルス感染やサイバー攻撃「サイバー攻撃」「ウイルス感染」

情報漏洩を防ぐために原因に応じた対策が必要

人為的ミスの対策

情報漏洩を100%防ぐ事は難しいですが対策をする・しないでは漏洩リスクが大きく異なります。
また漏洩原因の6割が人為的ミスによるものと
日本ネットワークセキュリティ協会による調査結果で公表されています。

人為的ミスが大半を占めることは携わる人にセキュリティ情報に関する知識や意識次第で
防げる事は多いことにもなります。会社全体として定期的なセキュリティ講習や研修を実施
ガイドラインやルールの策定などを決めておく施策も有効となります。

原因
対策
原因
置き忘れ
対策
・持ち出し禁止 ・USBなど外部機器禁止 ・貸出記録
原因
誤操作
対策
・メール誤送信システム導入 ・暗号化 ・不用意にデータをDLしない
原因
管理
対策
・社内ネットワーク構築 ・紙媒体は必ずシュレッダー ・私用PCを使用しない
人為的ミスを対策することで大部分の危険を減らせる

もし情報漏洩が発生したら

万が一情報漏洩が発生した際は初動対応が非常に重要となります。
初動対応が遅れてしまうと後々の批判や評価に直結して、数年間は影響が残る可能性もあるため
速やかに初動対応を出来るように自社でガイドラインを策定しておくことが特に重要です。

また起きた際の対応者や責任者など担当者を決めておきましょう。

初動対応①現状把握と社内報告

情報漏洩が発生したら第一に予め決めておいた責任者へ報告します。
責任者を中心とした対策グループで「被害状況の確認」「発生継続中かどうか」「社内共有」など
状況整理を行い社内に同様が広がらないように初動対応をしていきます。

初動対応②2次被害対策

起きた情報漏洩が「一時的」か「継続的」を判別します。
人為的ミスなどによる置き忘れなどは、それ以上無くした情報以上の漏洩は起きませんが
サイバー攻撃を現に受けている場合は更に他の情報なども漏洩する可能性があるため
「インターネットの切断」や「機器のシャットダウン」など
継続漏洩が起きないような対応をすぐに行います。

ここは初動対応①の現状把握をしっかりと行わないと対策し辛いため
必ず「継続的」な情報漏洩の場合はストップできる行動を最優先に行います。

初動対応③原因究明と情報公開

情報漏洩が収まったら「いつ」「なぜ」「誰が」「どこで」「どれだけの被害」など
今まで集めた情報を精査しつつ、原因究明を素早く行っていきます。

正確な情報が出揃った時点で外部に向けて情報を公開します。
必ず公開する情報は根拠のあるデータや情報を公表することが重要となります。
憶測などで発表してしまうと後にトラブルに繋がりかねないため、混乱を招く恐れのある情報は
無理に公表しないようにしましょう。

初動対応④関係各所及び顧客への公表

情報漏洩を起こした場合は企業に説明責任があります。
今までの対応で集めた情報と対応策を関係各所などへ公表を行います。
ただし公表するタイミングは被害が広がらないかリスクを鑑みた上で決めます。
サイバー攻撃中に公表してしまうと別の攻撃を受ける可能性もあるためです。

初動対応⑤再発防止策の策定と実施

一通りの初動対応が完了してサービスや営業活動が復旧したら再発防止策を行います。
原因となった理由と起こさない為の防止策を行い二度と起きないような方法を考えます。

また顧客などが被害を被った場合は損害賠償や起こした社員への処罰なども必要になるため
顧問弁護士など法律の専門家にも介入してもらい法トラブルが起きないように意識しましょう。

初動対応を素早く行うために事前にガイダンスを定めておく

まとめ

情報漏洩は起こしてはいけない事案ではありますが100%防ぐことは至難の業です。
重要なのは万が一起きた際にスムーズに対応策を取れるかがポイントとなります。

事前のガイダンス策定や責任者決め、対応手順など日々の決め事で
防げる可能性も大きくなるため必ず企業の責任として行うことが重要となります。