本記事は『どうしてこうなった? セキュリティの笑えないミスとその対策51 ちょっとした手違いや知識不足が招いた事故から学ぶITリテラシー』から抜粋したものです。掲載にあたって一部を編集しています。
機密ファイルを取引先に共有してしまった
チェックがついたら要注意
□ファイルを共有するとき、パスワードを設定してやりとりしている
□ファイル共有サービスで、フォルダの共有範囲を意識していない
□ファイル共有サービスで、フォルダ単位で共有している
フォルダ全体を共有設定してしまった
他社とファイルを共有するときに、ファイル共有サービスに格納したファイルへのアクセス権限の設定に問題があり、本来見えてはいけないファイルにアクセスできてしまった事例です。
添付ファイルのパスワードを別のメールで送信するのは無意味
他の人とファイルを共有したいときに便利なのがメールにファイルを添付する方法です。多くの場合、大容量のファイルを送信することはできませんが、ちょっとしたファイルを手軽に送受信するには便利です。
ここで問題になるのが、メールの宛先を間違えると、本来送りたかった相手とは別の人に添付ファイルを見られてしまうことです。顧客の個人情報や企業の機密情報が入ったファイルを添付したメールが、第三者に見られると大きな問題になります。
そこで、他社とファイルのやりとりをするとき、「ファイルにパスワードを設定し、メールに添付して送信する」という方法がよく使われていました。このパスワードを別に伝えれば、メールの宛先を間違えても、受信した人はパスワードがわからないため添付ファイルを開けません。
現在も多くの企業で使われている方法ですが、最近ではこの方法について次のような指摘があり、「PPAP」と呼ばれています(「Passwordつきファイルを送る(P)」「Passwordを送る(P)」「暗号化(A)」「Protocol(P)」)。
ファイルを添付したメールとは別のメールでパスワードを送付する運用では、同じ宛先を選ぶだけなので、誤送信を防ぐことはあまり期待できません。また、途中の経路でメールを盗み見られると、添付ファイルとパスワードの両方を見られるため、分けて送る意味がありません。
そもそもファイルさえあれば、相手は適当なパスワードを何度でも試せてしまいますし、日付の数字8桁などの安易なパスワードであれば現在のパソコンでは数秒で解読できます。
最近のウイルス対策ソフトでは、メールの添付ファイルにウイルスが含まれていないかチェックする機能がありますが、添付ファイルにパスワードが設定されているとチェックできません。つまり、パスワードを設定することでセキュリティが低下する一面もあるのです。
ファイル共有サービスの設定ミス
上記のようなパスワードをつけた添付ファイルの問題を避けるため、OneDriveやGoogle Drive、Dropbox、Boxなどのファイル共有サービスがよく使われます。送信したいファイルをファイル共有サービス上に格納し、そのファイルへのリンクをメールで送付するのです。
この方法では、メールの宛先を間違えて送っても、相手がファイルを開く前であればファイル共有サービス上のファイルを消せば問題ありません。また、このようなサービスとの間では通信が暗号化されているため、途中の経路でファイルの内容が盗み見られることはありませんし、多くのサービスではウイルスチェックの機能を備えています。
このように有効な方法ですが、正しく設定しないと他の情報漏えいリスクが発生します。それが冒頭の「共有範囲の設定ミス」です。
例えば、Google Driveでは、共有する相手のメールアドレスを指定して共有できます。この場合、その相手以外はリンクを知っていてもファイルを開くことはできません。しかし、リンクを知っている人全員に共有することもできるため、このような設定にしていると、他の人にそのリンクが知られるとアクセスできてしまいます。
多くのファイル共有サービスでは、ファイル単位に共有範囲を設定できるほか、フォルダ単位でも設定できます。あとからファイルを加えていくときは、そのフォルダが誰に共有されているのかを意識しておかないと、想定した人以外にファイルが見えてしまう可能性があります。
ファイル共有サービスではファイル単位で共有するのが原則
PPAPには、上記のような問題があるため、ファイル共有サービスを使う会社が増えています。ただし、方針としてクラウドのファイル共有サービスを使えない会社もあり、今後もPPAPが使われていくでしょう。
ファイル共有サービスを使っている会社では、上記で紹介したようにメールアドレスを指定して共有するなど、その公開範囲を把握して正しく設定することが求められます。
社外とのデータのやりとりでは、フォルダ単位で共有先を指定するのではなく、ファイル単位で共有設定をするとよいでしょう。複数のファイルを共有したい場合は、圧縮したファイルを格納し、そのファイルを共有するのです。
個⼈のブログに会社の批判や機密情報を記載して懲戒解雇になった
チェックがついたら要注意
□ブログやSNSで情報を発信している
□写真の投稿時に背景の写り込みなどを考慮していない
□モラル教育を実施していない
情報発信で炎上するのはなぜ?
店舗を訪れた顧客の情報や、顧客との会話内容などを社員が自分のブログやSNSで勝手に情報発信していたことが問題となった事例です。
ブログやSNSが一般的に使われるようになり、誰もが手軽に情報を発信できるようになりました。組織のアカウントであれば、投稿内容を複数人で確認したり、運用のルールを決めたりしますが、個人で取得したアカウントで発信していることもあります。これは手軽に投稿できる反面、その投稿内容が問題になることがあります。
例えば、有名人が来店したときに、それを投稿してSNSが炎上する、といったことはよく報告されます。このような顧客の情報だけでなく、会社の組織改編や人事異動などについても機密情報であり、その情報の発信には注意しなくてはなりません。
また、モラルに欠けた投稿により批判が殺到することがあります。組織として発信していなくても、社員がそのような投稿をすることで、組織としての管理責任を問われることもあるのです。
ブログやSNSでなくても、人材採用サイトなどにおいて、会社での給与や福利厚生、待遇などについて投稿することが問題になることもあります。一般的に公開されている情報であれば問題ありませんが、不満などが投稿されると影響が大きくなるのです。
写真の投稿
ブログやSNSに投稿するとき、写真があると見栄えがしてアクセス数が増えやすいといわれています。ただし、その写真にどのような内容が写っているのかを細かく確認しなければなりません。
オフィス内で撮影した写真をアップロードした場合、その背景に写り込んでいる機器や掲示内容によっては問題になることもあります。例えば、オフィス内にはパソコンなどの事務機器があります。その画面に表示されているファイルなどが写り込んで問題になることもありますし、壁の掲示など社内の人だけが見ることを想定しているものが写り込んでしまうと、情報漏えいにつながります。
机の上に置かれた鍵が写ってしまうと、その鍵に書かれている番号で鍵を複製できる可能性もありますし、人物の顔などが写り込んでしまい、許可をとらずに掲載してしまうと、肖像権の侵害に問われる可能性もあります。
最近では、スマートフォンなどのカメラで撮影した写真でも解像度が非常に高く、小さな文字でも拡大すると細かい部分まで見えてしまう可能性があるのです。
個人の運用ルールも決める
多くの会社では、ブログやSNSなどの運用について社内向けに「ソーシャルメディア利用ガイドライン」などの文書にてルールを定めています。この文書には、社員がソーシャルメディアを使用するときの運用体制や投稿内容について書かれており、組織としての発信だけでなく個人での発信についても決められています。
もちろん、個人での発信については止めることはできませんが、組織としての発信ではなく個人の感想であることを明示して投稿するように定めている組織もあります。
また、社外向けに「ソーシャルメディア運用ポリシー」などを定めている組織もあります。基本方針だけでなく、上記のガイドラインで定めたような具体的な使い方や免責事項が書かれています。組織によっては、SNS経由での返信や質問には応答しないものとし、問い合わせなどは公式サイトの問い合わせフォームなどを使用するように案内することがあります。
投稿内容を精査する
組織として投稿する場合には、投稿する前に複数の担当者で確認するような運用をしていることもあります。不適切な投稿を防ぐだけでなく、特定の担当者に負荷や責任がかかることを避ける意図もあります。
ただし、複数人で運用するときはルールを決めておかないと、担当者によって投稿するクオリティが変わってしまいます。そこで、投稿頻度や内容、画像の有無などを決めておきます。
このとき、あまり細かくしすぎると、投稿するハードルが高くなり、有用な情報も発信できなくなる可能性がありますので、組織の特性に合わせてルールを定めることが大切です。
翻訳サイトに入力した文章が不特定多数に公開された
チェックがついたら要注意
□翻訳サイトなどの便利なサービスを使用している
□有料の契約をせずに使用している
□送信する内容をあまり意識していない
実はデータをとっている翻訳サイトの仕組み
翻訳サイトなどのWebサイトを使った利用者が、ページ内で入力した内容が、利用者の知らないところでインターネット上に公開されてしまっていた事例です。
近年は、翻訳の精度が高くなっており、英語の文章を見たらとりあえずGoogle翻訳やDeepLといった翻訳サイトに貼り付けて翻訳している人がいるかもしれません。さまざまな言語に対応しており、例えば英語の文章を入力するだけで、日本語の文章に翻訳できます。逆に、日本語の文章を入力すると英語の文章に翻訳できます。
これは便利な一方で、その仕組みを知らないと問題になる可能性があります。このような翻訳サイトで文章を入力することは、そのサイトに対してデータを送信していることを意味します。
つまり、もしサイトの運営者に悪意があると、送信されたデータを収集できるということです。そして、このデータを記録しておき、他の目的に流用することもできてしまいます。
他の検索サイトやチャットサービスにも注意
これは翻訳に限らず、Googleのような検索サイトやAIチャットサービスなどでも同じです。利用者が入力したものに対して最適な結果を返す、という役割を果たすサービスですが、その目的のためだけに開発されているとは限らないのです。
より良い結果を返すために、どのような内容が入力されたのかをサーバー側で保存しておき、AIを開発するときのデータとして使用されることもあります。また、入力されたキーワードを顧客の属性(年齢や性別、興味など)と関連づけて、広告を表示するために使われることもあります。
もちろん、多くのソフトウェアやサービスは送信されたデータを社内だけで利用するため、データが送信されていても大きな問題になることはありません。それでも、送信したデータがどのように使われるのか知らずに送信してしまうと問題になる可能性があるのです。
有料プランを契約する
送信されたデータが他の目的で使われないように、データを保存しないことをサービス提供元が明示している場合があります。例えば、上記で紹介したDeepLでは、有料プラン(DeepL Pro)を契約すると、翻訳前後のデータを保存することはないと明記されています。このため、企業で機密文書を翻訳する場合には、こういった有料プランを契約することが必須だといえます。
他のサービスであっても、企業で利用する場合は有料のプランを契約して使用します。無料版では利用者に応じた広告が表示されるサービスであっても、有料版を使用すると広告が表示されず、プライバシー面での安心感もあります。
重要な情報は送信しない
無料プランを使っていても、英語のニュースサイトの一部を翻訳するような使い方であれば問題ないでしょう。もともとの内容が公開されている情報であり、機密情報ではありません。
しかし、企業の内部で機密情報とされている内容の場合は、こういった無料の翻訳サービスには送信しないようにします。
利用規約やプライバシーポリシーを確認する
翻訳以外のサービスでも、機能として便利であれば使いたいものがあるかもしれません。世の中には有料のプランが用意されていないサービスも少なくありません。
こういったサービスを使う際に、個人情報や機密情報を送信しなければならないのであれば、そのサイトに掲載されている利用規約やプライバシーポリシーを確認します。
