デジタルトランスフォーメンションが進み、様々な情報をデジタルで管理するようになりました。その一方で、デジタル情報の中には、クレジットカード、住所、パスワードなどの個人情報が記載されていることが多く、企業は取り扱いに特に注意を払う必要があります。
IPAの「情報セキュリティ10大脅威 2024」によると、「組織」向け脅威の6位に『不注意による情報漏洩等の被害』が入っています。このなかには主に紛失や置忘れが含まれています。この脅威は、昨年9位だったものが6位に上昇しています。
本記事では、紛失、置忘れへどのように対策をすべきか紹介します。
「紛失・置忘れ」による情報漏洩とは
紛失、物忘れにおける情報漏洩とは、電車、バスなど様々な場所でPCなど個人情報や機密情報が保存されているデバイスを紛失をしてしまうケースです。
交通機関での紛失
PC、書類などの忘れやすい場所として、電車、バス、タクシーなどが考えられます。電車やバスでは、紛失した時点で駅職員がPCを発見できないケースが多く、最悪の場合、PC、書類など持ち去られてしまう恐れがあります。
PCなどモバイル端末はパスワードをかけることで使用制限が可能ですが、パスワードをかけていないPCは、簡単に第三者がチェックできてしまうので、注意が必要です。
飲食店での紛失
会食に参加し、帰り際にPCが入ったバッグなどを置き忘れて帰ってしまった事例もあります。お店の人がすぐ見つけることができれば問題はありませんが、場合によっては他の客に持ち去られてしまう恐れがあります。
その他様々なところでの置忘れ
その他に様々なところでの置忘れによる情報漏洩も少なくありません。電車の網棚、喫煙所、スーパー、書店…どこに置忘れたか場所を特定できないことも考えられます。場所によっては、紛失したPCや書類が発見されないこともあります。ヒューマンエラーの中では特に注意をしなければならないケースです。
紛失・置忘れによる情報漏洩事例
実際に発生した事例をもとに、何が問題なのかを整理していきます。
事例1: 業務用PCを電車内に置忘れる
大手Webシステムサービスを提供する会社の社員が、業務用のノートPCを入れた紙袋をそのまま電車内に置忘れたという紛失事件が発生しました。
18時50分頃に紛失したことに気づき、駅の遺失物センターに連絡。その後21:43〜21:58分頃にアクセス可能なアカウントの停止処理をおこないました。
翌日にPCが発見され、セキュリティチームが解析をすると、PCにはパスワードを入力せずにログインが可能であったこと、第三者がPCに複数回にわたり不正ログインしていたことがわかりました。
事例2:溶解廃棄処理会社、書類紛失
2017年、公共放送の支払い帳票の溶解処理を委託した業者が、約3300枚もの帳票を紛失していました。処理依頼した段ボールは4809箱。そのうち1箱分を紛失。書類の一部は、道路で発見され、不正利用の疑いはないものの、一歩間違えればクレジットカードや個人情報の不正利用につながる可能性がありました。
事例3 :レストランを経営する会社がPCを紛失
ハワイアン料理などを手掛けるサービス業の会社社員がPCの入った鞄を小売店におき忘れ、PC内に記載されていた顧客情報約6万7280件が漏洩した可能性があると発表されました。
これらの事例を確認すると、ほんのささいな紛失・置忘れというヒューマンエラーで情報漏洩が簡単に起きていることがわかります。
パソコンの紛失・盗難対策に関するコラムをまとめたホワイトペーパーを公開
情シス担当者を中心に年間約6万人が訪れている人気コラムの中で、パソコンの紛失・盗難に関するコラムをめとめた総集編を提供しています。
「紛失・置忘れ」による情報漏洩の考察
紛失・置忘れなどによる情報漏洩を防ぐためには、どのようなことに気をつければ良いのでしょうか。なぜ情報漏洩が防げないのか問題点を整理しましょう。
情報漏洩がなぜ起きてしまうのか、会社によってさまざまな原因が考えられます。その中でも、紛失による情報漏洩では次のような原因が考えられます。
社員教育が浸透していない
日本では、まだまだ情報漏洩のリスクについての認識が希薄だと言われています。「情報漏洩が起こることで、どのような損害を顧客に与えてしまうのか」「情報漏洩によって企業の信頼はどの程度失われるのか」というリスクを本当の意味で理解していないことで、機密情報が入った端末などを持ち歩く際に、注意力が希薄になり、ヒューマンエラーが発生してしまう恐れがあります。
機密情報の管理に気をつけていても、人間はミスをする可能性があります。その意識が低ければ、ミスの危険性はさらに高まります。まずは、重要な情報を管理することの大切さを社員1人1人が意識を持つようにする必要があります。
セキュリティ対策措置の甘さ
紛失などで情報漏洩が発生してしまう背景には、セキュリティ対策がしっかりとなされていない場合も少なくありません。万が一紛失しても、情報漏洩が起きないように、日頃から、パスワード設定、データの暗号化、セキュリティ関連ソフトの設置などでリスクを回避できるケースもあります。
企業が機密情報や個人情報に対して、どのようなセキュリティ対策を講じるかも重要になります。
解決手段として
情報漏洩を対策するために、次のような対策を講じることで、リスクを軽減することが可能です。
情報セキュリティに対する徹底教育
ヒューマンエラーを防ぐためには情報セキュリティ対策を徹底する必要があります。新人・若手社員やデジタル機器の扱いが不慣れなベテラン社員だけではなく、全社的に徹底した情報教育が重要になります。
IPA(独立行政法人情報処理推進機構セキュリティセンター)の「情報漏洩対策のしおり」では、以下の内容が提唱されています。
- 企業(組織)の情報資産を、許可なく、持ち出さない
- 企業(組織)の情報資産を、未対策のまま目の届かない所に放置しない
- 企業(組織)の情報資産を、未対策のまま廃棄しない
- 私物(私用)の機器類(パソコンや電子媒体)やプログラム等のデータを、許可なく、企業(組織)に持ち込まない
- 個人に割り当てられた権限を、許可なく、他の人に貸与または譲渡しない
- 業務上知り得た情報を、許可なく、公言しない
- 情報漏洩を起こしたら、自分で判断せずに、まず報告
こうした内容を社員全員に浸透させることが必要になります。
仮想デスクトップなどの利用
PCのローカル上でデータを管理するのではなく、クラウド上の仮想デスクトップサービスなどを利用することで、PCを紛失してしまい人の手に渡ったとしても、情報が流出する可能性は低くなります。
リモートワイプの活用
どのような対策を講じても、情報漏洩がなくなる可能性はゼロではありません。情報漏洩が発生してしまった場合に備え、リモートワイプの環境を整備しておくこともリスクを軽減させる一つの方法です。
リモートワイプは、モバイルPCの盗難、紛失をした際に遠隔操作で該当のPC内のデータを消去したり、ロックしたりすることが可能です。リスクが発生してしまった場合の手段として、企業のデータ流出を防ぐうえで欠かすことができない手段であると言えるでしょう。
企業が情報漏洩対策に取り組むべき理由
情報漏洩は、企業にとって様々なリスクをもたらします。企業が情報漏洩対策に積極的に取り組むべき理由は、企業として、こうしたリスクをできるだけ軽減する必要があるからです。
1.信用失墜と顧客離れ
情報漏洩は、企業の信用を大きく損ないます。顧客の個人情報や機密情報が漏洩した場合、顧客は企業に対する信頼を失い、取引を停止したり、競合他社に乗り換えたりする可能性があります。一度失った信用を取り戻すことは難しく、長期的な顧客離れにつながる可能性もあります。
2.金銭的損失
情報漏洩は、企業に多大な金銭的損失をもたらします。漏洩した情報の種類や規模によっては、損害賠償請求や訴訟に発展し、高額な賠償金を支払う必要が生じることもあります。また、セキュリティ対策の強化や再発防止策の実施、顧客への対応など、様々な費用が発生することも考えられます。
3.事業継続への影響
情報漏洩は、企業の事業継続にも影響を及ぼします。漏洩した情報によっては、企業の重要な技術やノウハウが流出し、競争力を失う可能性があります。また、システムの停止や復旧作業など、事業活動に支障が生じることもあります。最悪の場合、事業の継続が困難になるケースも考えられます。
4.法的責任
個人情報保護法をはじめとする法律では、企業に対して適切な情報管理体制の構築やセキュリティ対策の実施が義務付けられています。情報漏洩が発生した場合、企業はこれらの法律に違反したとして、罰金や行政処分などの法的責任を問われる可能性があります。
まとめ
紛失、置忘れによる情報漏洩を防ぐために、社員に対する意識改革はもちろんのこと、紛失が発生した場合、会社側がどのような対策をして情報漏洩を防ぐか、会社側も対策をしっかりと行うようにしましょう。
今や法人ではPCの盗難・紛失対策は必要不可欠
テレワークが当たり前になっている状況のなかで、企業のパソコンの盗難・紛失による情報漏洩対策は必要不可欠となっています。もしもの場合に備えた対策を行いましょう。