まいどフォーラム

ITコーディネータによる中小企業の企業内IT支援は、まいどフォーラムにご相談ください。


投稿

HOME > 投稿 > 情報漏えい対策について

情報漏えい対策について

1.はじめに

企業の情報漏えいがここ十年くらいで、大きく取り沙汰される様になって来ました。企業だけでなく公共機関も例外ではありません。そしてその漏えいの原因の80%が内部の問題で発生しているという事実があります。情報漏えい対策は、ITコーディネータの守備範囲でもあると同時に頭の痛い問題です。

2.序論

情報漏えいが発生すると、企業は莫大な損失を被ることになります。漏洩した情報にもよりますが、個人情報であればその漏洩した企業は賠償金が必要となり、その対応で通常業務が妨げられ、本来得ることができた利益も逃すことになります。また、その企業の信頼は失墜し、信頼回復までに何年も要する事になります。製造業だと設計書や研究資料も重要情報となります。これらが漏えいすると、それまでに莫大な開発費や研究費を投資し、何年もかけてやっと手に入れた成果も、ライバル企業との競争で不利な立場に追い込まれるでしょう。原因は盗難など犯罪がらみもありますが、ついうっかりして漏洩してしまったという事も少なくありません。
官庁関連では、記憶に新しいところで、ある官庁の職員が、機密の画像ファイルをYouYubeに流した事も大きな問題になりました。私たちが知りたかった事実の映像でもあり同情はします。が、国家公務員としての立場では許されない行為だった事は間違いありません。

情報漏えいの原因の80%が内部の問題であるという事は、その多くの解決の鍵は内部の人ということになります。内部の人の意識向上がとても大事な取り組みだと思われます。
そして、その意識の向上に関しては、やはり継続的に取り組む必要があります。

昨年、中小の製造企業であるA社の情報漏えい対策への取り組みを伺いました。この企業は情報漏えいに敏感で、情報の取り扱いに関するルールを作り、それをセキュリティ管理部門が定期的にチェックし、違反があれば違反者は上司とともに注意を受けるということを行っています。この為、社員の情報漏えいに関する意識は高い方なのですが、やはりチェックするたびに違反者がでていた様です。

3.本論

【継続的な教育】
A社の場合、情報取り扱いのルールを作ってイントラネットなどで配布し、誰でも閲覧出来るようにしていました。しかし、ほとんどの社員は一度読んでも記憶に残らないことが多く、イントラネット上にファイルを置いているだけのため、再度読み返すということもあまりしませんでした。これでは、理解が薄いため、うっかりミスがあっても不思議ではありませんし、また注意された時には知らなかったというケースも多く見られる様でした。誰しもそうですが、記憶に残るまでには繰り返し覚える必要があります。ルールを理解していなければ何が問題なのかわからないため、問題を防ぎようがありません。
A社ではこの問題を解決する様に、社長からセキュリティ管理部門に指示があり対策を行いました。セキュリティ管理部門ではこの問題に関して解決策を検討し、出来るだけ頻繁に全社員がルールを確認できる方法を考えました。そして、定期的にメールで違反となる行為はどのような事かを配信する様にしたのですがその効果は大きかった様で、うっかりミスの違反者はいるものの、違反者がその様なルールを知らなかったという言い訳をしなくなったという事でした。一人でもルールを知らずに情報を漏えいさせてしまえば、その企業全体の問題になり、会社の存続まで危ぶまれる事態になりかねないので、成果は大きなものと考えられるでしょう。最近ではイラストの得意な社員がマンガ形式でメールを配信し、更に理解度が深まっているようです。
少なくともルールの周知を徹底させるという事には成功した事例だと思います。

【意識の向上】
ルールを守るという意識の向上を行わなければ、ルールを作ってもあまり意味がありません。A社は先ほどの定期メールでルール厳守の意識向上もある程度達成できた様ですが、さらにルール厳守を徹底させるために、各課ごとに情報取り扱いと違反したときの罰則について定期的に研修をさせるようにしました。更に研修を行うたびに社員に理解度テストをさせました。理解度テストで95%以上正解しなければ、後日再研修と追試があるため、ほとんどの社員は追試を受けない様に研修を真剣に受け、95%以上の正解をするそうです。実際に罰則を与えたことは無いようですが、この試験の効果も徐々に見られる様になり、セキュリティ管理部門も効果を実感できるようになってきたとの事でした。

4.結論
情報漏えいに対する対策で最も重量な方法のひとつはやはり教育という事になると考えられます。この教育は一時的なものではなく、長期的に行っていく必要があります。教育により、情報取り扱いのルールを徹底させるだけではなく、そのルールを守る様に意識をさせ、また情報盗難という事件がある以上、善悪とその罰則についても理解させていかなければいけません。情報漏えい事件の大半は人間が犯すものなので、人間を作ることが一番の対策と考えます。

ITC 中谷 正明

このページの上へ



『経営に活かせるIT』と『ITを活かした経営』の橋渡しは‥‥まいどフォーラム