コラム

業務ツール考察『徒然なるままに、、、』

情報漏えい対策について

第45回 20年09月更新

鈴与シンワートマーケティング部A氏

皆さんの会社では情報漏えい対策は完璧でしょうか?技術の進歩と共に、情報が盗み取られる危険性も日々増大しています。ある時点では最善の対策であっても、時間の経過とともに脆弱化していきます。ここでは情報漏えい対策の具体例を考えてみましょう。

 

情報漏えい対策に必要なルール化ってどういうこと?

情報漏えいは一度起きてしまうと金銭的損害にとどまらず、その企業の信用においても大きな損失となります。従って機密情報が外部に流出しないよう対策を講じる必要があります。

とは言っても、情報の管理にはコストがかかりますし、業務自体の効率にも影響を与えます。情報を分類し、それに合わせた対策を選択することが合理的かつ効果的です。

そして、情報漏えい対策を実行するためには社内でルール化することが必要です。ルール化の方法としては、就業規則や情報管理規定といった社内の規定を策定します。そしてそれを社内に周知させる共有化が重要です。

情報漏えいの原因の多くは人的ミスです。過失や、悪意のないものがほとんどですが、違反やミスを周りが見逃さないことが大事です。

パスワードや鍵、暗号化などの物理的・技術的な対策ももちろんですが、社員の情報漏えいに対する認識の向上、社員同士の信頼関係、他の人が見ているという視認性の確保といった人的対策が最も重要です。

 

情報漏えい対策に必要な情報所在の明確化ってどういうこと?

情報漏えいに関するニュースはたびたび新聞やテレビニュースで取り上げられます。企業名が公表され責任を問われ、企業は信用の失墜を招き、業績の面でも悪影響を与えます。

情報漏えいを防ぐには、まずは重要情報の現状を認識することが必要です。管理が必要な情報とはどのようなものなのか、どこに保管されているかを記録しておかなければなりません。

PCの中なのか、USBメモリの中にあるのか、印刷されたものなら、どこでどのように保管されているのか、という情報の所在と保管方法、どの程度のセキュリティレベルなのかを明確にしておかなければなりません。

そして、もし情報漏えいが起こった場合にでも、直ちに対応ができるようなリスク管理が大事です。

 

情報漏えい対策に取り扱い手順書はなぜ必要なの?

情報漏えいのリスクを軽減するためには、ルール作りとその遵守が求められます。

しかし、ルールを忘れていたり、複雑であったり、手順が多かったりする場合にはその遂行が困難になります。また、情報漏えいを防ぐためには、そのルールを理解している状態を保つ必要があります。

そのために情報の取り扱いについての手順書やマニュアルが必要となります。手順書により社員全員に手順やルールを周知・教育することができ、また仮に忘れていても見返すことができます。

そのルールや手順を守っていれば絶対に情報漏えいが起こらないとは限りませんが、自分自身が情報漏えいを起こさない心構えを植え付けるためにも、情報漏えい対策には手順書が必要です。

 

情報漏えい対策にソフトウェアへのアクセス制限はなぜ必要なの?

重要なデータにアクセスできる権限を、特権ユーザー等ごく限られた人物にだけ与えることで、その他大勢の一般ユーザーに情報を盗み取られるリスクを減らします。

また特権・一般ユーザーに関わらず、各々の担当する業務に関係ない情報にはアクセスできないように細かく権限を設定していくことで、情報の漏えいや不正な改ざんを防止するという効果もあります。

アクセス制限の持つもう一つ大きな効果は「トラブル発生時の原因究明を助ける」という点です。事前にアクセス制限をしっかりと設けておけば、トラブルが起きた情報にアクセス可能だったユーザーを調べることで、その原因に素早く辿り着けることが期待されます。

そのためアクセス制限と同時に、アクセス履歴もしっかり記録できる態勢を整えておくことが重要となります。

 

情報漏えい対策にシステム管理ってなぜ必要なの?

情報システムやインターネットは企業や組織の運営で不可欠です。その取扱いを誤れば、情報が漏えいし、大きな損失を生んでしまいます。

情報漏えいは7~8割は内部から起こっています。それを未然に防ぐためには、経営者もしくは管理者が対策をする必要があります。情報漏えい対策として、まずはリスクの原因となりうることを把握すること、その原因に対して確実に対策を取ることが求められます。

また企業や組織はIT資産を適切に管理する社会的責任があります。そのため、ログ管理をすることで、情報漏えいが起こってしまった場合にも原因調査の手がかりとなります。

また不正アクセスによる情報漏えいを防ぐためにもID管理を適切に行う必要があります。まずは正しい理解の上、情報漏えい対策のシステムを構築することが求められます。その管理によって、それぞれを確実に機能させることができます。

 

情報漏えい対策について

情報漏えい対策のルール化では、就業規則や情報管理規定の策定が求められます。作るだけで終わらず、社内に周知させる共有化が重要です。
情報の所在と保管方法、どの程度のセキュリティレベルなのかを明確にしておかなければなりません。情報の取り扱いについて手順書やマニュアルも必要となります。重要なデータにはアクセス権限を設けることも大事です。
以上のような要素を考慮し、情報漏えい対策のシステムを構築することが求められます。情報漏えいを起こすと対応に迫られ、防止対策の公表が求められます。情報漏えいが起こる前にこれらが準備できていれば、情報漏えいが起こる可能性を限りなくゼロに近づけることができます。

著者プロフィール(鈴与シンワートマーケティング部A氏)

2016年鈴与シンワート株式会社へ中途入社し、マーケティング部に所属し、今年で4年目。
元々はアシスタント業務をしていたが、現在は宣伝広告・広報担当として自社サービス、IT業界のマーケットを勉強中です。
日々の学習成果をコラムに綴り連載予定!!
よろしくお願いします。

バックナンバー