連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム

ヒューマンエラーによる情報漏洩 企業が今すぐとるべき対策とは

セキュリティ マイナンバー

テレビニュースや新聞で、度々取り上げられている情報漏洩関連の事件。
日本ネットワークセキュリティ協会の「2015年 情報セキュリティインシデントに関する調査報告書【速報版】」によると、2015年に発生した個人情報漏洩による想定損害賠償総額は2541億3663万円にものぼるとされています。
そして、実は情報漏洩のほとんどが、ヒューマンエラーに起因しているのです。
そこで、このコラムではヒューマンエラーによる情報漏洩が企業に及ぼす影響やその対策を解説します。




情報漏洩に繋がりかねないヒューマンエラーとは?

日本ネットワークセキュリティ協会の「2015年 情報セキュリティインシデントに関する調査報告書【速報版】」によると、情報漏洩の7割以上が「管理ミス」「誤操作」「紛失・置忘れ」といったヒューマンエラーによって発生していることがわかります。

図1:情報漏洩の原因

参考:日本ネットワークセキュリティ協会「2015年 情報セキュリティインシデントに関する調査報告書【速報版】」をもとに作成

情報漏洩に繋がりかねないヒューマンエラーは、普段の何気ない行動の中にも潜んでいます。日常業務を振り返ってみると、次のような行動をしているという方も少なくないのでは?

  • 暗号化すべきファイルを暗号化していない
  • PCのログインパスワードを数ヶ月変えていない
  • 生年月日や郵便番号など、第三者が推測しやすいパスワードをPCログイン用に設定している
  • 席を離れる際にPCをロックしていない
  • 危険なサイトにアクセスしている
  • 許可されていないUSBフラッシュメモリやクラウドストレージに業務データを保管している
  • 印刷した書類をシュレッダーで裁断せずに、そのままゴミ箱に捨てている

このようなヒューマンエラーは、些細な気の緩みから発生してしまいます。そして、ヒューマンエラーを原因とする大規模な情報漏洩事件も発生しています。

4,000件以上の顧客情報が漏洩した某航空会社

2014年、某航空会社の顧客管理システムへの不正アクセスにより、顧客情報の漏洩が発生したと発表されました。従業員が、メールに添付されていたファイルを開封し、マルウェアに感染してしまったことが原因でした。結果として、4,000件以上の顧客情報が漏洩することとなり、該当する顧客に対して500円のQUOカードを送付するなど対応に追われました。

16万件以上のメールを誤送信してしまった某インターネット関連会社

2014年、某インターネット関連会社の担当者が、会員向けメールマガジンを異なる宛名に誤送信するという事態が発生しました。結果的に、16万件以上の誤送信が発生したことが発表されています。その原因は、メールマガジンの配信作業にミスがあったこと、すなわちヒューマンエラーでした。

このように、些細なヒューマンエラーが原因で情報漏洩は発生していまいます。そして、次項では情報漏洩が企業にどのような影響を及ぼすのかを考えます。



ヒューマンエラーによる情報漏洩が企業に及ぼす影響とは

ヒューマンエラーによって情報漏洩が発生した場合、損害賠償の支払いや企業のイメージダウンにつながる可能性も否めません。

そして、マイナンバー制度の開始によって情報漏洩が発生した場合のリスクはさらに大きくなっています。マイナンバーは、個人の所得や社会保障に関する情報と紐づいている秘匿性の高い情報であり、2018年には銀行預金との紐づけも予定されています。その高い秘匿性から、「マイナンバー法(※1)」が制定され、万が一、マイナンバーを漏洩してしまった場合、漏洩の原因となった当事者だけではなく、企業に対しても重い罰則が科されることになりました。

そのため、企業はヒューマンエラーによる情報漏洩への対策を早急に進める必要があります。

※1「行政手続における特定の個人を識別するための番号の利用等に関する法律」



上流工程から進められがちな情報漏洩対策

企業が情報漏洩対策を強化しようとする場合、コンサルタントによる現状分析や、個人情報保護法によるコンプライアンス管理、リテラシーやコンプライアンスを理解するための研修など、上流工程から進められることが多々あります。

しかし、どれほどスキのないポリシーや規程をつくっても、「今回だけならイイかな...」、「面倒だなぁ」という思いから、禁止行為を行う人や、義務を果たさない人が現れることは容易に想像できます。

したがって、単にポリシーや規程を定めるにとどまらず、「ヒューマンエラーは起こるものである」という認識を持ち、現場レベルでの具体的な対策を行わなければなりません。



ヒューマンエラーによる情報漏洩を防ぐために必要な、現場レベルでの対策とは?

現場レベルでの具体的な対策としては、次のようなものがあります。

  • 社内情報の暗号化
  • PCやサーバのアクセス状況のリアルタイム監視
  • ポリシーで禁止したサイトやデータ等へのアクセス制限
  • 業務時間外のサーバやPCの使用制限
  • PCやサーバへのログイン時の本人認証
  • PCへのセキュリティソフトウェア導入

このうち、特に重要なのがPCのセキュリティ強化です。ほぼすべての従業員が日常的に利用するものであるからこそ、適切な対策を施せばヒューマンエラーによる情報漏洩を回避できる可能性が高いからです。

しかし、PCのセキュリティを強化するにはアンチウイルスソフトウェアやログ監視ソフトウェア、端末管理ソフトウェアなど数多くのセキュリティソフトウェアを導入する必要があります。そのため、多くのコストが発生してしまいます。

さらに、それぞれのシステムが競合することなく役割を果たせるように各種設定を行うことも欠かせません。そのため、情報システム担当者の業務負担も増大しがちです。

一方で、最近ではヒューマンエラーによる情報漏洩対策に必要な機能をパッケージ化した業務用PCも登場しています。このようなPCでは、各種セキュリティソフトウェアがプリインストールされ、必要な設定が完了しています。そのため、コストと手間を抑えつつ、情報漏洩対策を強化することが可能です。

マイナンバー制度の始まった今、情報漏洩対策を強化することはあらゆる企業にとっての喫緊の課題となっています。情報漏洩原因の7割以上を占めるヒューマンエラーに対して、速やかに有効な打ち手を講じるための選択肢として、このような業務用PCの導入を検討するのも良いでしょう。

この記事のライター
落合純平(おちあい じゅんぺい)

株式会社ネクストアド B2Bコンテンツマネージャー。
IT製品の紹介ページやナーチャリングコラム、メールマガジンの制作を数多く請け負い、サーバ、ネットワーク、仮想化基盤といった専門的な分野から、クラウドやモバイルといったトレンド分野まで、幅広いジャンルのWebコンテンツを制作。

関連記事

ライター

  • 池田 利夫(いけだ としお)
    IT系、教育系書籍を扱う出版社の代表。
  • 井上 健語(いのうえ けんご)
    コンピュータ系、ビジネス系の記事を主に扱うライター。
  • 宮下 由多加(みやした ゆたか)
    鋭い観察眼と分かりやすい切り口で複雑な内容を紐解くIT系ライター。
  • 成澤 紀美(なりさわ きみ)
    社会保険労務士。人事労務のホームドクターとして活躍中。
  • 池田 秀司(いけだ しゅうじ)
    情報セキュリティに特化した専門サービスを提供し、日々奮闘中。
  • 羽田 一彰(はだ かずあき)
    中小企業に対するマネジメントシステム構築・運用支援が得意。
  • 吉澤 亨史(よしざわこうじ)
    セキュリティ、IoT、ネットワーク関連の執筆を得意とするライター。
  • 柳井 完司(やない かんじ)
    CAD、CGを中心とするIT系記事全般を取材、執筆するライター。
  • 佐賀井 大樹(さがい だいき)
    IT分野の実績が多いコピーライター/コンテンツディレクター。
  • 落合 純平(おちあい じゅんぺい)
    IT製品の紹介ページやコラムなど、様々なWebコンテンツを制作。
  • 本柳 克敏(もとやなぎ かつとし)
    SIer、マーケティング、営業だけでなく業界団体の活動にも携わる。

Facebook