公開日 /-create_datetime-/
激しくなる一方のサイバー攻撃により、企業の機密情報漏えいが散見されます。2022年9月に発生した、政府運営の「e-Gov」や人気SNSなどへのサイバー攻撃は記憶に新しいのではないでしょうか?
機密情報とは、自社の文書やデータ情報だけでなく、取引先の営業秘密情報も含まれます。
今回は、経営者やバックオフィスのセキュリティ担当者に向け、事例を交えながら機密情報漏えい対策やリスクについて解説します。
目次【本記事の内容】
まずは、どのような内容が機密情報にあたるのかを把握しておきましょう。
上から順に機密情報の重要度を示す「VAPS」という指標があります。
V |
Vital |
バイタル情報資産 |
正式な文書など |
A |
Archival |
アーカイバル情報資産 |
社史編纂資料など |
P |
Personal |
個人情報資産 |
個人情報など |
S |
Security |
セキュリティレベル |
極秘・秘・社外秘のランク付け |
VAPSのうち、「VAP」の具体例を以下に示します。
まずは「VAP」の情報資産を把握し、「S」にあたるセキュリティレベルを決定します。
当然ながら、企業は社員との信頼関係を前提に運営しているので、個人情報は確実に守らなければなりません。さらに、社外秘マークがあるものや、新製品情報、研究データ、設計図、財務にまつわるデータなども機密情報です。
ほかにも、営業などによって知り得た顧客先の連絡先情報や見積書、契約書、共同開発にまつわる情報なども機密情報に該当します。また、営業時に知り得た営業秘密を漏えいすれば、場合によっては機密情報漏えいにあたり、刑事罰に問われる恐れもあります。
このように、機密情報には自社が外部への開示を予定していない秘密情報だけでなく、営業機密・秘密情報も含まれています。
概念として、「自社および他社に不利益・損害を与える恐れがある情報」が機密情報だと捉えてください。
企業などの機密情報が漏えいすると、自社のみならず取引先にも想像以上の被害を与えてしまいます。企業名や詳細は伏せますが、機密情報漏えいした事例を紹介します。
●損害保険業界の機密情報漏えい事例
国内の損害保険業界では、個人ではなく組織アカウントの機密情報が大量に漏えいしました。
2018年にはダークウェブに流出し、約27億件もの有効なメールアドレス・パスワードがインターネット上に流出し、国内外のITセキュリティ業界を震撼させました。
また、2020年には保険代理店に対する不正アクセスが生じ、顧客情報が8万件以上流出しています。その後、保険業界のセキュリティ担当部門は、多要素認証や暗号化などによる不正アクセス予防保全対策などを実施しました。
●金融機関の情報漏えい事例
2013年、銀行から顧客の氏名・住所・電話番号・口座番号などの個人情報資料が、4万件近く紛失しました。いわゆる人的ミスにより誤って廃棄したことが原因だったため、外部への流出は避けられましたが、その後、情報管理が徹底されました。
2021年には、銀行から複数の業務委託先に誤送信したことが原因で、顧客情報やカードの暗証番号などの機密情報が漏えいしました。漏えいに気づいた銀行側は即時にデータ提供をストップしたため、二次流出は免れました。しかし、顧客にカードの再発行をしてもらうことになり、多大な迷惑を与えてしまったのです。
機密情報漏えい対策は、企業の生命線ともいえるでしょう。
重複する部分はあるものの、大きく「人的エラー」と「不正アクセス」に分け、情報漏えい対策を解説します。
●人的エラーへの機密情報漏えい対策
内部不正やうっかりミスを防ぐためには、自社に応じたセキュリティポリシーの作成が必要です。
業務用デバイスの持ち帰り禁止、デバイスを私用で使わない、メールの添付ファイルは開かない、在宅ワーク時の公衆無線使用禁止などのルールを作成し、従業員に周知徹底しましょう。
内部講師または外部講師による講義を実施しましょう。また、定期的に理解度を確認できるようなテストやアンケートを行うと効果的です。
上司や複数名による確認も行いたいところですが、人的ミスを100%防ぐのは難しいため、メール送信時の誤送信を防止するソフトウェアを活用しましょう。
また、メールでの資料共有をやめてオンラインストレージを活用すれば、機密情報漏えい対策につながります。
●不正アクセスへの機密情報漏えい対策
機密情報を国内外からのサイバー攻撃から死守することは、企業の存続のためにも必要不可欠です。情報を盗み取るマルウェアやランサムウェア配信ツールなど、数え上げればキリがないほどの攻撃が毎秒行われています。
外部からの不正行為による機密情報漏えい対策の初歩的措置として、狙われやすいIoT機器を含めた情報資産状況を確認し、最新のファームウェアや更新プログラムを確実に適用します。
また、多要素認証やアクセス権限などを設け、本人認証も強化しておきましょう。
企業内外からのセキュリティ上の事故や攻撃による脅威を「情報セキュリティインシデント」と呼びます。
サーバーなどの各種ログの確認、アクセスコントロールの再点検、通信の監視などを徹底し、インシデントの早期探知で被害拡大を防ぎましょう。
異常ログを検知するツールを活用すれば、目視だけではわかりにくいログも確認できます。
機密情報漏えいが生じると、多大な損失を受けるばかりか、顧客からの信頼失墜など大きなダメージは免れません。経営者はもとより、ベテランのセキュリティ担当者も過去の概念にとらわれることなく、刻々と変化するサイバー攻撃への認識や機密情報漏えい対策を確実に実施しましょう。
契約管理の現状
OFFICE DE YASAI 総務様必見!お役立ち資料
労働契約と業務委託契約の違いとは?契約書に記載すべき重要ポイントを解説
OFFICE DE YASAI 導入事例
【新卒エンジニア育成】入社1年で8割が一人前!サイバーエージェントの新入社員育成
【管理部門・士業の実態調査】2024年度の給与アップと人事評価の実態とは?
社内不正被害、人材の流動性が高い4月から6月は要注意 被害の6割近くは「情報持ち出し」
学生の就職観は「楽しく働きたい」「ノルマがきついのは嫌!」~企業が採用活動をするときのポイント~
【2024年度の賃金動向】企業の約6割が“賃上げ見込み”過去最高記録を更新へ。半数超が「ベースアップ」を実施予定
ホールディング経営とは? グループ経営との違いについて解説
失敗しない!法対応と業務効率化を実現する経費精算システム選び方ガイド【4社の比較表付き】
<人的資本開示 実践編 > 人的資本と組織サーベイ
人事異動・新入社員のエリア配属をラクにする住居手配を効率化するヒント
テレワークでも確実にコスト削減する「引っ越しのコツ」
空間共有システム選び方ガイド
社会保険の適用拡大、担当者向けの手引きなどコンテンツを公開 厚労省が特設サイトをリニューアル
約9割の上司が“部下に忖度”…上司と部下の関係性に変化か。立場の違いによる「理想」と「実態」のギャップとは?
Pマークを取得するには?申請から登録までの費用や期間、メリットを詳細に解説
経産省と東証、初の「SX銘柄」15社を発表 企業のSXへの取り組みがわかるレポートも公開
高ストレス者への法的に正しい対応と産業医面談の注意点
公開日 /-create_datetime-/