パソコンの盗難で最悪の事態に備える方法～情報漏洩を防止する方法～

パソコンを盗難された場合のリスクで一番大きいのは「情報漏洩」です。今回はその情報漏洩にフォーカスして、情報漏洩を防止するための方法を考えていきたいと思います。

テレワークでの持ち出しパソコンのリスク 

パソコンを持ち出す際のリスクは、大きく分けて3つに分類されます。

１．パソコンやモバイル端末の盗難や紛失

テレワークでは、公共の場（喫茶店や図書館等）で業務を行うことも少なくありません。その場合、移動中や作業場所での置忘れなど、パソコンやモバイル端末の盗難や紛失のリスクがあります。

２．公共の無線LAN（フリーWi-Fi）の利用に伴う通信傍受

誰でも利用可能な公共の無線LAN（WiFi）は、便利である反面、危険度が高い接続方法のひとつであります。基本的に公共の無線LANは、通信内容を暗号化されていないケースがほとんどのため、データのやり取りを第三者に傍受されてしまう危険があります。

３．マルウェアやウイルスへの感染

社内ネットワークと比較して、外部でのインターネット接続は、マルウェア（悪意あるソフトウェア）やウイルス感染のリスクが高くなります。感染してしまってもそれに気づかずに、社内ネットワークに接続してしまうと、ウイルスを社内ネットワークに侵入させてしまうこともあります。

情報漏洩時に企業が負う責任

パソコンの盗難における最大のリスクは「情報漏洩」であると話しましたが、実際にあった事例を紹介します。

＊＊＊事例＊＊＊

2014年4月、某家具販売会社の社員が海外出張中に、個人情報が入っているノートパソコンと携帯電話が盗難されたことを発表。ノートパソコンには、面接予定者の個人情報と取引先等のメール（氏名、電話番号、メールアドレス）、そして、携帯電話には50名分の氏名、電話番号が含まれていました。すぐにノートパソコンと携帯電話の利用停止措置を講じるも、情報漏洩があったかどうかは確認できていません。

＊＊＊＊＊＊＊＊

こうしたパソコンの紛失・盗難の際に情報漏洩があったかどうかの確認できていいケースは数多くありますが、漏洩がなかったと判断できるものではありません。将来的に情報漏洩が発生する可能性を秘めています。

それでは、パソコンの盗難による情報漏洩で、企業が負う責任は何でしょうか？

企業で情報漏洩がしてしまうと、（情報漏洩した内容にもよりますが）顧客を始めとした個人への重大な被害が生じてしまいます。

企業が負う3つの責任を紹介します。

１．刑事/民事上の責任

刑事上では、個人情報の漏えいで、まず、国からの是正勧告を受けますが、従わない場合は「6ヶ月以下の懲役又は30万円以下の罰金刑」が科せられます。利益を得る目的で行った場合は「1年以下の懲役又は50万円以下の罰金刑」が科されます。

また、民事上の損害賠償請求が発生する可能性があります。金額としては1人あたり数百円から数千円程度のケースがありますが、仮に150万人の情報が流出した場合、1人あたり1000円だとすると、150万人×1000円＝15億円になります。2004年に発生したYahoo！BBの情報漏洩事件では、裁判所が1人あたりの損害賠償額を5500円として、総額で40億円になったとも言われています。

２．社会的信用の低下

情報漏洩が発生すると、ニュースなどで大きく取り上げられるケースも少なくありません。会社名が公表されると企業イメージは大きく損なわれます。「この会社は大丈夫か？」と思われて、既存顧客も離れてします可能性もあります。一度失った信用を取り戻すのは容易ではないでしょう。

３．損失やコスト負担

情報漏洩が発生した場合、その対応や情報整備にリソースを割く必要があり、通常の業務に支障がでてきます。場合によっては、機会損失などで売上にも影響してくることもあるでしょう。再発防止策を講じるためにシステム改修の必要も出てきます。こうしたコストが増大することもあります。

パソコン盗難による情報漏洩を防ぐ方法    

パソコンの情報漏洩を防ぐ対策として、まずパソコンの管理と社内ルールの策定や見直しが必要となります。そのうえで、物理的な対策と社員へのセキュリティ教育を行っていくことが重要です。

事前の申請と持ち出し管理の徹底

パソコンの持ち出しをする際に、セキュリティ管理者に予め申請を行い、誰がいつパソコンを持ち出したか管理することが重要です。

外部へ持ち出し用パソコンの準備

持ち出しするパソコンにはVPN接続設定など、外部で使用することを前提としたセキュリティ対策を行います。

ハードディスクの暗号化

持ち出しパソコンのハードディスクの暗号化は非常有効な手段です。ログインパスワード設定だけでは不十分なセキュリティ対策をより安全なものにすることができます。

リモートワイプ/リモートロック   

パソコンの盗難だけでなく紛失にも情報漏洩を防ぐための有効な手法のひとつに「リモートワイプ」があります。

パソコンなどのモバイル端末にネットワーク経由で遠隔操作を行い、パソコン内のデータを消去するツールで、盗難が発生した際に遠隔操作によりパソコン内のデータを消去してしまえば、第三者に情報が漏洩することはありません。

また、似たような機能として、「リモートロック」があります。

リモートロックはネットワーク経由で遠隔操作から、パソコンをロックして利用させない機能です。万一、パソコンが盗難に遭った場合でも対処できるようにしておくことが重要となります。

〉〉〉リモートワイプの詳細はこちら

社員教育の徹底

利用者のITセキュリティの理解度を高めることも重要です。盗難防止のための物理的な対策を行うだけでは十分ではありません。パソコン利用者が情報漏洩とそのリスクなどについて理解することが必要です。パソコンを外部で利用した際に、情報漏洩が発生してしまったら、企業や個人の信用低下に繋がりかねないこと、当事者意識を持ってもらう必要があります。

まとめ

パソコンの盗難で情報漏洩が発生すると、刑事/民事上の責任を負うだけでなく、社会的信用も大きく失墜する可能性があり、最悪の場合、顧客離れなどにより事業継続が危ぶまれることもあります。そうならないためにも、十分なセキュリティ対策を行ってください。