情報漏洩対策はどうすればいい？会社を守るためのガイド完全版

企業が事業を進める中では、さまざまなリスクがあります。
東京商工リサーチが発表した2022年「上場企業の個人情報漏えい・紛失事故」調査では、個人情報の漏えい・紛失事故が発生したのは150社で事故件数は165件、漏えいした個人情報は592万7,057人分に及びます。
これは、調査開始の2012年以降で2年連続最多の数字です。

情報漏洩は、身近にある深刻な経営リスクであり企業は何か起きる前に対策しなければいけません。情報漏洩が起こることで、経済的な損失があるほか信頼性が低下して長期的に重篤な被害をもたらします。
ここでは、どうして情報漏洩が起きるのか主な原因から考察します。

ウイルス感染・不正アクセス

東京商工リサーチが調査した2022年の個人情報漏洩、紛失事故165件のうち原因別にみると、「ウイルス感染・不正アクセス」が最多で半数以上を占めました。

現代は、パソコンやスマホ、タブレットといったデバイスからインターネットに常に接続するのが当たり前でウイルス感染のリスクも増加しています。
悪意のあるソフトウェアであるマルウェアやウイルスに感染したファイルが、企業内のシステムの侵入して機密や個人情報を盗み取られるケースは珍しくありません。

感染する経路は多くありますが、ネットワーク経由で侵入したり、メールの添付ファイルや不正なアプリから感染するケースがあります。
不正アクセスは悪意があるハッカーがセキュリティの脆弱性をついて侵入ケースもありますが、従業員がアクセス権限を悪用するリスクも注意しなければなりません。

ウイルス感染や不正アクセス被害が増えているのは、テレワークが急激に増えセキュリティや運用ルールの適用が遅れている企業があることも要因です。
VPNやテレワーク用のソフトの脆弱性をついてウェブ会議や業務情報を窃取されたり、従業員が自宅で使用しているネットワークから侵入されたりする恐れもあります。
セキュリティが強固なテレワーク環境やルールの構築が求められています。

誤表示・誤送信

情報漏洩は、悪意を持った第三者がいなくても発生することがあります。
東京商工リサーチによる調査では、情報漏洩事故の原因としてウイルス感染や不正アクセスの次に多いのは、誤表示・誤送信でした。

誤表示は、システム環境をご設定して、外部に公開すべきでない情報が公表されてしまったケースです。
例えば、取引先に送信したドキュメントに更新する前の情報を残してしまっていたケースや、ウェブサイトやプレゼン資料に公表すべきでない情報が含まれていたケースがあります。

誤送信も発生しやすいトラブルです。
メールやチャットは仕事を便利にしてくれるツールですが、機密や個人情報を含んだ内容のメッセージを誤って外部に送信してしまうことがあります。
また、一斉送信した時に送信先を誤り、無関係な第三者に情報を送ってしまうケースもあります。

紛失・誤廃棄

機密情報や個人情報を含んだデータや重要書類は適切な管理が求められます。しかし、管理が不適切で紛失されたり、誤って廃棄されたりすることがあります。

例えば、USBやSDカードに保存していた機密や個人情報を紛失してしまう事故はニュースで耳にしたこともあるでしょう。
また、外部に持ち出さなくても重要な文書やファイルが保管場所不明で見つからなくなってしまうケースもあります。

テレワークで、パソコンやUSBを社外に持ち出す機会が増えた人も多いかもしれません。
一方、情報が入ったパソコンや記憶媒体を紛失したり、盗難に遭ったりしてセキュリティ事故となってしまうことがあります。
社外への持ち出しは、第三者から盗まれるリスクが高くなり、従業員の不注意で紛失することもあります。

データ持ち出しや利用については会社でルールを定めるとともに、情報を扱う従業員のセキュリティ意識を高めなければいけません。
重要な情報は廃棄の時にも適切な方法で廃棄するよう求められます。
ハードディスクや記憶媒体に機密情報が残ったままで処分されてしまったケースや重要なデータを誤って廃棄してしまうケースがあります。

企業が情報漏洩を防ぐためにできる対策

情報漏洩の対策には2つの視点があります。
ひとつは、企業における情報漏洩対策、もうひとつは従業員のセキュリティ対策です。
情報セキュリティ対策は従業員を組織両方の力が無ければ達成できません。

ここでは、企業側がすべき対策から紹介しています。

社内セキュリティガイドラインの制定

セキュリティ対策として初めにして欲しいのが社内セキュリティガイドラインの設定です。
国内外でさまざまなガイドラインが発行されているので、参考にすると社内ガイドラインを作成しやすくなります。

以下は代表的なガイドラインです。

・サイバーセキュリティ経営ガイドライン
経済産業省と独立行政法人情報処理推進機構（IPA）が策定したガイドラインで、サイバー攻撃から企業を守るための理念や行動を示したもの。

・中小企業の情報セキュリティ対策ガイドライン
独立行政法人情報処理推進機構（IPA）が策定したガイドライン。
経営者編と実践編に分けられ、セキュリティ対策を実践する際の手順や手法がまとめてある。

・NISTサイバーセキュリティフレームワーク
米国国立標準技術研究所（通称NIST）が策定したガイドラインで、国際標準のセキュリティが示されている。

守秘義務契約の締結

従業員と守秘義務契約を締結することもセキュリティ対策の一環です。
従業員の中には、セキュリティ意識の薄さから社内の情報を外部に口外してしまうものもいます。
現代はSNSが普及しているため、発信してすぐに拡散されてしまうリスクもあります。

セキュリティ研修を実施するだけでなく、必ず守秘義務契約を結んで責任を明確にしてください。
契約を結ぶことで情報の取り扱いに緊張感を持たせ、情報セキュリティを扱う自覚を促すことができます。

パスワード管理の徹底

パスワード管理も重要な情報漏洩対策です。
従業員が設定するパスワードも簡単なものではなく、企業からどういったパスワードにすべきか働きかける必要あります。
単純なパスワードではなく、絵数字をランダムに混ぜたり推測しづらいパスワードを設定しなければいけません。

また、同じパスワードを複数アカウントで使用していると、ひとつのアカウントで侵入を許すと他のツールにも被害が波及してしまいます。
多要素認証を導入するといった取り組みも効果的です。

業務フローの見直し

社内ガイドラインは経営側や組織上層部が示すものですが、現場側はそれを遵守するためにどのようなルールであれば方針を遵守して運用できるかを考えなければいけません。
加えて、現在の業務フローを見直してどこに情報漏洩リスクが潜んでいるかを特定します。

リスクがある部分は、業務フローの改善やシステムの導入でリスク低減する方法を検討してください。

セキュリティソフトの導入

情報漏洩対策は、社員の意識や行動を変えるだけでなく、システムの設計やソフトの導入も検討してください。

残念ながらヒューマンエラーによる情報漏洩リスクをゼロにするのは困難です。
そこで、リスクがある前提で対策できるシステム設計やセキュリティソフトの導入をおこないます。
例えば、テレワークによる不正アクセスリスクを防ぐために安全な社内ネットワーク環境を整備することも取り組みのひとつです。

また、ウイルスやサイバー攻撃を検知するセキュリティソフトもあります。
セキュリティソフトは導入するだけでなく定期的に更新して最新の情報に保つようにしてください。

従業員向けの啓蒙

従業員のセキュリティ意識を高めるためには、組織による社内教育が重要です。社内ガイドラインも設定するのみならず、共有する機会を設けてください。

また、定期的にセキュリティ研修をおこなって情報漏洩が発生した場合でも迅速に対応できるようにしましょう。
セキュリティの研修は繰り返しおこなって社員に浸透させることが大切です。

従業員が意識すべき情報漏洩対策

情報漏洩を防ぐには従業員の行動から対策しなければいけません。社員1人ひとりが最適な行動をとることで、情報漏洩のリスクは最小限に抑えられます。

そこで、従業員の行動における情報漏洩対策をまとめました。

不要な持ち出し・持ち込みをしない

情報が外部に流出するのを防ぐには、情報を不要に持ち出さない、持ち込まないことが大切です。
社用のパソコンやスマホ、タブレットの持ち出しについて管理するほか、端末ロックやデータの暗号化といった対策をしてください。
また、機密情報を記載した書類やUSBの持ち出しも最低限に留めるように管理しましょう。

最近は、私用のスマホを社内に持ち込んで使える職場もありますが、社内ネットワークにつなぐのは避けてください。
私用の端末がウイルスに感染した場合、接続した機器が感染するリスクがあります。

機密情報の適切な取り扱い

社内の情報がわかるものは取り扱い自体に注意を払います。安易に放置したり、廃棄した利すれば第三者に見られて情報漏洩するかもしれません。

例えば、社用のスマホやパソコンをロックされていない状態でトイレや食事で離籍していないでしょうか。
仕事中は緊張感をもって管理しているつもりでも、休憩時間や終業後に飲食店などで情報が入ったカバンから意識を離してしまうかもしれません。
書類についても、鍵のかからない場所に置いたままで離席していないか考えてください。

スマホやパソコンは離席時には必ずロックして紙の書類も使うとき以外は鍵がかかる場所に保管します。
廃棄時も紙の書類はシュレッダーするか、専門の業者に処分を依頼してください。

社用のスマホやパソコンも廃棄時にはデータを完全に削除します。ガイドラインでも情報の廃棄方法に触れて、社員が適切に処分できるようにします。

信頼性の低いメールやサイトにアクセスしない

不正アクセスやウイルス感染を防ぐには、従業員が信頼性の低いメールやウェブサイトにアクセスしないように徹底します。
信頼性を確かめるには、メールの送信元やURLをチェックしたり、不自然な日本語がないかを見たりする方法があります。

また、サイトのURLに鍵マークが表示されていない場合や、警告マークが出ているときにはアクセスを避けるようにおすすめします。
信頼できないサイトで重要情報を入力すれば情報漏洩につながるリスクがあることを従業員向けの研修で伝えるようにしてください。

社内情報や権限は外部に漏らしてはならない

従業員の中に、情報漏洩について深刻に受け止めていない人がいる可能性もあります。

例えば、家族や友人といった相手でも社外の人間に対して機密情報は絶対に口外してはいけません。また、SNSでも社内の情報を漏らさないようにしてください。
従業員が無意識にハイリスクな行動をとっているケースは決して珍しくありません。飲食店で仕事の話をしていたら、第三者に聞かれるリスクもあります。

普段注意していても、飲酒しているときに油断して社名や業務について特定できるような内容を話してしまうことも考えられます。
情報漏洩のリスクを下げるには、どのような行動に危険があるのか具体的な例を示して共有するのがおすすめです。

情報漏洩をしてしまった場合の対応

どれだけ対策しても、情報漏洩が発生してしまうことはあります。そんなときに大切なのは、速やかに報告して被害を最小限にすることです。

従業員のちょっとしたミスでも情報漏洩は発生します。
情報漏洩かもしれないと従業員が感じた時に、小さなことだから問題ないのではと報告を忠茶してしまえば対応が遅れてトラブルが大きくなってしまうかもしれません。
日ごろから小さいことでも報告しやすい環境づくりをするように心がけてください。

さらに、情報漏洩が起きた時の対処法を従業員に共有しておくと報告から対応までが円滑になります。
また、情報漏洩が発生した後にはどうすれば防げたのか、対処は適切だったかを検討します。
同じ失敗を繰り返さないために原因と対策を明確にしておきましょう。

まとめ・情報漏洩は組織全体で取り組もう

テレワークの普及によって、企業の情報漏洩のリスクは高まっています。
企業の中には柔軟な働き方を目指してテレワークを導入したものの、セキュリティ対策は不十分であるケースもあります。

組織として情報漏洩のリスクがどこにあるのか、どのように対策すればいいのか策定するとともに、従業員向けの取り組みを網羅的におこなってください。

創業手帳（冊子版）は、企業の役に立つ記事を多数掲載しています。セキュリティを高めたり社員への啓蒙活動をおこなったりするときも創業手帳（冊子版）を活用してください。

（編集：創業手帳編集部）

創業手帳の無料サービス人気ランキング