情報漏えいを防ぐ技術的な対策と運用面での対策
内部から情報を持ち出す方法を考えると、すぐに思い浮かぶのがUSBメモリなどへのコピーでしょう。これを防ぐために「USBメモリの使用を禁止する」という対策も考えられますが、中小企業の多くでデータの受け渡し手段として使われていることも多く、現実的には難しい場合もあるかもしれません。また、メールへの添付やオンラインストレージなどを利用されてしまうと、USBメモリの使用を禁止していても、意味がありません。
具体的な対策として、最低限行っておきたいのがファイルへのアクセス権限の設定です。ファイルやフォルダにはアクセス権限を設定できますので、重要なファイルにアクセスできるのは担当者のみに限定します。重要な情報については、組織として管理部門を設置し、責任者を配置することが前提になります。つまり、取り扱う担当者を明確にして、担当者以外が機密情報を取り扱うことが無いようにします。
もちろん、共通のアカウントを使用しないようにすることが前提になります。ログイン時にパスワードの入力が面倒だからといって、共通のアカウントでパスワードなしで使用している会社も少なくありませんが、このような運用では何か問題が発生した場合に原因を突き止めることが困難になります。また、従業員の異動や退職などが発生した場合には、元の部署にアクセスできてしまうことがないように確認しましょう。
ただ、個人情報の漏えい事件の内訳を見てみると、「紛失・置き忘れ」「誤操作」「管理ミス」で原因の75%を占めるという調査結果もあります。(JNSAによる2015年 情報セキュリティインシデントに関する調査報告書【速報版】)
図1:漏えい原因
メールの宛先を間違えてしまった、添付するファイルを間違えてしまった、という経験は誰にでもあるでしょう。たとえ誤操作であっても、外部に送信してしまったデータを取り戻すことはできません。
そこで、誤操作や管理ミス、紛失・置き忘れがあっても、被害が最低限になるようにする必要があります。例えば、メールの誤送信や添付ミスに対して、添付ファイルは暗号化し、パスワードを電話など別の手段で伝える方法があります。紛失・置き忘れの対策として「個人情報を含むファイルは、サーバーにのみ保存し、従業員が使うパソコン上のハードディスクやUSBメモリには保存しない」といった運用ルールを策定する方法もあります。
ただ、スマートフォンやタブレット端末の普及もあり、これまでのようにパソコンだけを管理すればよい時代ではなくなりました。上述の調査報告書でも、「漏えい媒体・経路」として「紙媒体」が過半数を超えていますし、情報漏えいの対策は簡単ではありません。情報漏えいが発生すると、被害者への謝罪や補償金の支払いなど、その内容によっては企業の倒産や廃業にもつながってしまいます。ルールの遵守状況を定期的にチェックすることも必要でしょう。
図 2:漏えい媒体・経路
