前回のコラムでは、パスワードの管理についてご紹介しました。パスワードの取扱について再確認を今一度行っていただくことをお勧めいたします。

さて今回は、新聞やニュースで取り上げられるようになってきた『情報漏えい事故』についてお話したいと思います。情報漏えい事故というとインターネットを経由したサイバー攻撃によるクレジットカード番号などが盗まれて、不正取引に利用されるといったイメージでしょうか？

先日も、『都税クレジットカードお支払サイト』が、外部からの不正アクセスを受け、クレジットカード情報を含む個人情報が流出した情報漏えい事故が発生し、ニュースを騒がせていたと思います。このケースは、インターネット上に設置されているサーバの脆弱性を意図的に攻撃した典型的なサイバー攻撃の一例になります。

ニュースを賑わす大規模情報漏えい事故と言えば、サイバー攻撃が原因という事が多いのも事実ですが、私達の身近にある情報漏えい事故というと人的ミスによるものが殆どであると言ったことは余り取り上げられていないような気がします。

添付の図を御覧いただきたいのですが、情報漏えい事故の原因の約8割が、人が引き起こすヒューマンエラーが原因であるということが見て取れます。（図１を参照）

人的理由による情報漏えいの多くは、情報の重要度認識不足による『不注意、作業ミス』が大半を占めています。人的ミスは誰にでも起こる事象ではありますが、対象の情報が会社にとって非常に重要な情報であると『知っている』場合と、『知らない・知らなかった』状態で業務を進めた場合では、『不注意、作業ミス』の頻度はかなり低下すると想定されます。『これは大切な情報だ。会社に取って重要な情報だ。』と意識して情報を取り扱うだけでも、ミスは大幅に低減されると思われます。またはシステム化することで人の手を介さないようにすることで、人的ミスを根本から無くしてしまう選択肢もあるかもしれませんが、一番手っ取り早く効果が見込まれると思われることは、『社員教育』です。

『知らない・知らなかった』をまずは無くすことからであれば、取り組みがし易いと思います。業務の範囲でこの情報は部外秘・社外秘の重要情報なのか、カタログのように一般公開して構わない情報なのかを整理して、部内・会社で共有することから始めては如何でしょうか。上長は部下がどのような情報を取り扱っているのかを再確認し、会社は部署がどのような情報を取り扱っているのかを今一度確認することで、社内の情報を整理し、それを社員で共有してみましょう。

ITセキュリティを考える際にとても重要なポイントは、一気に全部を解決しようとするのではなく、すぐに取り掛かれるものは何か？という目線で一番簡単なハードルを設定し、全社員で飛び越え、それを共有することだと思います。まずは、現状確認から開始してみてはいかがでしょうか。

弊社では情報漏洩対策用ソリューションもご用意しております。