第０回：「情報セキュリティリスク」への人的対応が急務となっている背景 | 創考喜楽

まず、初めに認識しておきたいことは、「情報セキュリティ」のリスクは今では「経営のリスクの１つ」になってきた、ということです。

情報システムやインターネットの普及などのICTの進展がその背景にあります。現代社会においては、情報システムやインターネットは、企業の運営にとって欠かせないものになっています。

しかし、この情報システムへの依存による利便性の向上と引き換えに、大きなリスクを抱えることになりました。情報を社内から社外に持ち出す手段が多様化し、一方で社外から情報を狙うことも容易になってしまったのです。

「個人情報や機密情報の漏えい」の観点で、経営課題として捉えるリスクは４つに分類されます。

「損害賠償など損害に関するリスク」

・個人情報が漏えいすることによって、お客様に被害が及んだ場合やクレーム対応として粗品を送るケースや、お客様の被害に対して損害賠償が請求されるケースが想定されます。
・また、提携先と守秘義務契約を結んだ情報が漏えいした場合は、「守秘義務違反」として訴訟を起こされるケースも想定されます。

「風評リスク」と「信用の失墜リスク」

・情報漏えい事故が発生しその被害の範囲が小さい場合であっても、ひと度インターネットのニュースとなってしまうと、あっと言う間に全国の人が知ることになります。今まで無名だった企業でも一夜にして有名になってしまうことも十分に起こる話です。
・また、最近増えているアルバイトの悪ふざけ動画がSNSで爆発的に拡がる「バイトテロ」についても他人事ではありません。従業員によるSNS投稿がきっかけで会社に風評被害がおよぶことも珍しいことではなくなりました。
・そしてこの風評が、そのまま企業の信用の失墜につながってしまうのです。

「法令リスク」

・個人情報などの法令上の管理義務がある情報を適切に管理しておらず、情報漏えい事故などが発生した場合、経営者や役員などは業務上の過失として刑事罰やその他の責任を問われる可能性があります
・個人情報保護法については、取扱量が小さい中小企業も対象になりますので、注意しておきましょう。

市場で横行しているサイバー攻撃を意識すると、『情報はシステムで守るもの』と考えがちですが、システムによる対応は高額な導入コストがかかり、それを維持していくにもコストがかさみます。

また、困ったことにシステムだけでは守り切れない領域もかなりの割合で存在します。　その理由から「情報セキュリティ」に関しては、人は大切な「防御壁」の一つとして位置付けられています。

最近増えている「標的型メール攻撃」を例に考えてみましょう。

サイバー対策用のツールが高度化している為、メール用のツールを導入することによって、システム側でウィルスメールやスパムメールを排除することはできるようになりました。

しかし、一方で攻撃側の技術も高度化している為に、検知システムをすり抜けるメールも少なからず発生しています。

標的型メール攻撃に関しては、たった一人でもウィルスメールを開いてしまうと、社内のサーバーに保管されている個人情報が持ち出されてしまいます。99%システムで防御できていても、残りの1%で情報漏えいが発生してしまうのです。

この1%を守るのが「人」で、最後は人の目によるチェックに頼らざるを得ないのが現状です。

また、業務におけるミスが原因で情報が漏えいしてしまう事故も珍しくありません。作業者が作業内容を確認して、再鑑者がダブルチェックして、承認者が承認して・・・といった業務は、AIなどのシステムが代替できない工程もたくさんあります。この観点からも、社員一人一人が最終防波堤であると言われています。

このように、業務ミスによる情報漏えい事故やSNS投稿が、風評リスクや損失リスクに繋がる可能性があることを踏まえると、「情報セキュリティ」に関して学ぶことは社員にとって重要タスクの一つで、最終防波堤として社員を育てることは会社の責務です。

個人情報保護法のガイドラインにも「人的安全管理措置」として以下の記載があります。

個人情報取扱事業者は、人的安全管理措置として、次に掲げる措置を講じなければならない。また、個人情報取扱事業者は、従業者に個人データを取り扱わせるに当たっては、法第21条に基づき従業者に対する監督をしなければならない。

＊従業者の教育

従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければならない。

このコーナーでは、事故事例を基に、「リスクが内在するポイント」「当リスクが引き起す結果」を検証していきたいと思います。