個人情報が漏洩する人為的ミスとその対策は?
- 目次 -
情報漏洩インシデントはそのほとんどが人為的ミス
個人情報の漏えい事故は、企業の信頼低下につながり、株価にも影響を及ぼす出来事です。
2021年に、個人情報漏洩という重大インシデントを報告し、公表したのは120社に上りました。
その半数はウイルスの感染や不正アクセスによるサイバー攻撃が原因でした。しかし、裏を返せば、その半分以外はサイバー攻撃以外が原因です。
なかでも注目すべきは、人為的ミスでしょう。ほんの、うっかりミスが個人情報の漏洩につながる恐れがあるのです。
個人情報が漏洩するミスは他人事ではない!
個人情報が漏洩する人為的ミスは、一般人である私たちが起こしてしまう可能性もあります。
会社にお勤めの方は、顧客の個人情報や社内の社員の個人情報に常に触れています。
情報を守るためのルールを徹底している会社も多いでしょう。
自営の方も、個人情報が漏洩しないために、留意をしているはずです。
しかし、人為的ミスはどうしても起こってしまいます。
もしかしたら、ミスを起こす当事者になる可能性もあり、決して他人事ではありません。
個人情報が漏洩する人為的ミスの、原因と対策を知っておきましょう。
パソコンや書類の紛失・置き忘れ
テレワークも働き方のひとつ、とされている昨今、社内情報がたくさん入ったパソコンや書類そのものを社外に持ち出す機会が増えています。
そこでうっかり、電車や飲食店に置き忘れた、紛失してしまったというミスを犯してしまう人がいます。
もちろん、パソコンにはパスワードロックがかかっているでしょう。しかし、物理でSSDをとりだすこともやろうとすればできてしまいます。
パソコンや書類の紛失・置き忘れは、個人情報が漏洩するミスのなかでも最も手痛いミスと言えます。
重要な情報が詰まっていると分かって置き引きを行う、産業スパイも存在するかもしれません。油断は禁物です。
メールやFAXの誤送信
一般的な会社員のみなさんは、メールやFAXを社外に送信することも多いのではないでしょうか。
間違い電話などはやりがちですが、メールやFAXで誤送信してしまうと、文章の内容を一度すべて見られてしまいます。
それが顧客名簿を含んだものだとしたら、大変です。
悪意を持って利用されたら目も当てられません。
メールやFAXの送信は、アドレス帳などに登録しておいても、社内外の何者かが、アドレス帳の中身を変更する可能性なども念頭に置いて、毎回きちんと宛先を確認する必要があります。
個人情報を雑に扱う行為
有り得ないほど、基本的なセキュリティ意識を持っていない人が、会社内にいることもあります。
例えば、
- パソコン本体にパスワードをふせんで貼っている
- 社外で大声で顧客の話をする
- 喫茶店で業務用PC画面をロックせずに席を外す
- USBメモリにデータを複製して家で業務を行う
といった行動です。
こうしたことは、社内の情報漏洩防止ルールとして禁止されている会社もあるでしょう。
容易にセキュリティの突破ができてしまったり、覗き見や盗聴ができてしまうのは、個人情報を預かる企業の姿勢としては良いとはいえないからです。
しかし、この個人情報を雑に扱う行為を禁止するルールが形骸化していることもあります。
会社の資産である顧客の個人情報を雑に扱う行為は、会社そのものの質を問われます。
また、SNSなどで、社員が仕事内容を愚痴っている……などということもあります。エスカレートして個人情報を流出しかねないので、あらかじめSNSの使用ルールを定めるか、厳重に注意しておきましょう。
サイバー攻撃を人為的ミスによって受けてしまうことも
個人情報を多量にもつ企業は、常にリスクに晒されています。
サイバー犯罪者にとっては、個人情報はひとつの商品です。
また個人情報を土台に様々な手段で、私腹を肥やそうとしますので、サイバー攻撃は防がなくてはいけません。
ただし、サイバー攻撃の中には、人為的ミスを誘発させる巧妙なものもあります。
フィッシングメール
社員の個人アドレスにフィッシングメールが届き、迂闊な社員が顧客の個人情報をアップロードしてしまった。そんな例が実際にあります。
【重要】や【緊急】【大至急】といった単語がタイトルについていると、焦って判断能力が低下し、人為的ミスを誘発されてしまうことがあるからです。
また、個人情報の流出などとは、少し話がズレますが、「メールアドレスが変わりました、次回からはこちらにお願いします」といった内容で、見慣れた取引先企業の名前を騙る相手からメールが届いたので、アドレス帳を変更した。その後、支払い請求書が届いたので、疑いもせずにいつもとは違う振込先口座にお金を振り込んだ…。
こんな、企業を相手取った大胆な振り込め詐欺が2015年年頃から全世界で多発しています。
思い込みや、ダブルチェックやトリプルチェックの体制が整っていないと、こうした大胆な詐欺に企業が引っ掛かってしまうことがあります。
悪意のあるウイルス等の感染
サイバー攻撃の中でもやっかいなのは悪意のあるウイルス等の感染です。
- 業務用PCでフリーWi-Fiに接続した
- フリーソフトを業務用PCにダウンロードした
- 個人のPC上で作成したデータ入りのUSBを業務用PCに挿入した
社員が起こす、こうした不用意な行動から、業務用のパソコンにマルウェアやウイルスに感染してしまうことがあります。
セキュリティ対策ソフトを導入していれば防げることもありますが、やはりこうした不用意な行動という人為的ミスから個人情報漏洩の危機に陥る可能性があります。
このセキュリティ危機意識は社員一人一人に留意させておくべきでしょう。
個人情報が漏洩する人為的ミスへの対策
ではいよいよ本題です。
個人情報が漏洩する人為的ミスへの対策を、企業ではどうとっていけばよいのでしょうか。
ひとつずつ列挙していきます。
社内ルールの見直しを徹底
まずは、社内の情報管理セキュリティに関するルールの見直しが急務です。
ダブルチェックやトリプルチェックが形骸化していないかなども、見直しましょう。
もしもそういったルールをまったく制定していない企業であれば、早急にルールの制定を検討しましょう。
日本には、サイバーセキュリティ関連の法律やガイドラインが複数制定されています。
- サイバーセキュリティ基本法
- 電子署名及び認証業務に関する法律
- 特定電子メールの送信の適正化等に関する法律
- 不正アクセス行為の禁止等に関する法律
などがありますので、参考にされてみてはいかがでしょうか。
また、人材を雇う際の雇用契約書にも、顧客の個人情報を漏らさないようにしなければならない、といった守秘義務を加えることも必要です。
社員教育の徹底
社員のセキュリティ意識を高める教育は、個人情報が漏洩するようなミスを起こさないための対策には欠かせません。
不注意によるミスに対しててきめんに効果があるはずです。
セキュリティ対策を怠らないように、理解を深めるには、正しい情報機器の扱い方といった技術方面での知識、ウイルスへの脅威といったことも教育する必要があります。
こうした教育の機会とともに、パスワードや鍵の管理など基本的なセキュリティ対策をおろそかにしていないか、確認することも重要です。
通常に手に入る教材を購入してきたり、専門部署を設置し教育担当となるのも良いですが、どちらにせよ会社の現場のレベルに合った教材を選択しましょう。
企業がもつ顧客の個人情報は、資産です。資産を守るために、社員のモチベーションを高めつつ学ばせましょう。
セキュリティ教育サービス業者などに委託し、定期的に教育を受けることもおすすめです。
外部のセキュリティサービスに依頼
ここでいう外部のセキュリティサービスとは、業務用のパソコンに導入するセキュリティソフト類や、物理的な警備サービスなどすべてを指します。
業務ファイルを厳重に管理するセキュリティクラウドサービスなどもあります。
さらに、定期的にハッキング攻撃やウイルスの感染がないか、端末診断などを行うことも個人情報の漏洩対策には効果的です。
産業スパイを警戒するための、企業に向けた盗聴器の発見サービスなどもあります。
ただし、どういったサービスも、かかるコストの値段重視、つまり安さで選んでしまってはよくありません。個人情報漏洩を防ぐことは、事業の継続を左右するような重大案件だからです。
サービスの中身をよく吟味して、信頼のおけるセキュリティサービスに依頼しましょう。
消費者側から信頼できる企業を見極めるには
もし、自分の個人情報がうっかりミスで流出されたら業腹でしょう。あらかじめ、人為的ミス対策をしっかり行っている企業を選んで利用したいと考えるでしょうが、その見極めは困難です。
ですが、顧客情報を粗雑に扱う社員がいる企業をみつけ、ふるいに落とすことは可能です。
- 制服を着たまま顧客情報を喋っている社員が居る企業
- 個人情報の入力フォームがあるのにHTTPS化をしていない公式HPの企業
- 宛先間違いのメールやFAXが届いた企業
- SNSで業務上の愚痴を書いている人が明かしている勤務企業
- 個人情報漏洩インシデントを起こした後に適切な対応を起こしていない企業
等は、利用を控えておくのが賢明です。
自分の個人情報が流出されないためにも、日々生活する中で、情報セキュリティの意識が低い行動をしている企業を見かけたら警戒しておきましょう。
企業にお勤めの方や自営の方は、自分の行動も省みてはいかがでしょうか。