1)「情報セキュリティリスク」=「経営のリスクの1つ」

まず、初めに認識しておきたいことは、「情報セキュリティ」のリスクは今では「経営のリスクの1つ」になってきた、ということです。

情報システムやインターネットの普及などのICTの進展がその背景にあります。現代社会においては、情報システムやインターネットは、企業の運営にとって欠かせないものになっています。

しかし、この情報システムへの依存による利便性の向上と引き換えに、大きなリスクを抱えることになりました。情報を社内から社外に持ち出す手段が多様化し、一方で社外から情報を狙うことも容易になってしまったのです。

 

「個人情報や機密情報の漏えい」の観点で、経営課題として捉えるリスクは4つに分類されます。

 

損害賠償など損害に関するリスク

 

風評リスク」と「信用の失墜リスク

 

「法令リスク」

 

 

2)人は「情報セキュリティ」における大切な「防御壁の一つ」

市場で横行しているサイバー攻撃を意識すると、『情報はシステムで守るもの』と考えがちですが、システムによる対応は高額な導入コストがかかり、それを維持していくにもコストがかさみます。

また、困ったことにシステムだけでは守り切れない領域もかなりの割合で存在します。 その理由から「情報セキュリティ」に関しては、人は大切な「防御壁」の一つとして位置付けられています。

最近増えている「標的型メール攻撃」を例に考えてみましょう。

サイバー対策用のツールが高度化している為、メール用のツールを導入することによって、システム側でウィルスメールやスパムメールを排除することはできるようになりました。

しかし、一方で攻撃側の技術も高度化している為に、検知システムをすり抜けるメールも少なからず発生しています。

標的型メール攻撃に関しては、たった一人でもウィルスメールを開いてしまうと、社内のサーバーに保管されている個人情報が持ち出されてしまいます。99%システムで防御できていても、残りの1%で情報漏えいが発生してしまうのです。

この1%を守るのが「人」で、最後は人の目によるチェックに頼らざるを得ないのが現状です。

また、業務におけるミスが原因で情報が漏えいしてしまう事故も珍しくありません。作業者が作業内容を確認して、再鑑者がダブルチェックして、承認者が承認して・・・といった業務は、AIなどのシステムが代替できない工程もたくさんあります。この観点からも、社員一人一人が最終防波堤であると言われています。

 

このように、業務ミスによる情報漏えい事故やSNS投稿が、風評リスクや損失リスクに繋がる可能性があることを踏まえると、「情報セキュリティ」に関して学ぶことは社員にとって重要タスクの一つで、最終防波堤として社員を育てることは会社の責務です。

個人情報保護法のガイドラインにも「人的安全管理措置」として以下の記載があります。

個人情報取扱事業者は、人的安全管理措置として、次に掲げる措置を講じなければならない。また、個人情報取扱事業者は、従業者に個人データを取り扱わせるに当たっては、法第21条に基づき従業者に対する監督をしなければならない。

 

*従業者の教育

従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければならない。

 

 

 

■事故事例を通して、リスクポイントを学ぶ

このコーナーでは、事故事例を基に、「リスクが内在するポイント」「当リスクが引き起す結果」を検証していきたいと思います。

目次に戻る