人的セキュリティ対策とは?「人」が原因の情報リスクとその対策を解説
2023年06月08日 07:00
この記事に書いてあること
兵庫県尼崎市の市民情報紛失など、人のミスや不正などが原因の情報漏えいの事案が続いています。情報セキュリティ対策において、このような人に関わるセキュリティ対策は、技術的対策、物理的対策とともに強化しなければならない施策です。このコラムでは、実際に起きた事例から、人的要因による情報漏えいリスクをお伝えするとともに、人的セキュリティ対策の具体的な対応について解説します。
情報セキュリティにおける人的脅威とは?
企業が重視すべき情報セキュリティ上の脅威には、「技術的脅威」「物理的脅威」「人的脅威」という3つがあります。そのうち「人的脅威」とは、操作ミスや内部不正など、社員や会社の関係者などの人の行動に起因するものです。
人的脅威には、誤操作やメール誤送信などの作業上のミスや、外出先へと持ち出したUSBやパソコンの紛失・盗難といったトラブルも含まれます。また、転職先での利用などの目的による社員の意図的なデータ持ち出しも人的脅威です。第三者によるシステム攻撃や不正アクセスも、人の手による脅威という点で人的要因と言えます。
情報漏えい原因の多くを占める人的要因
人的要因は、プログラムやネットワークに関する技術的要因、そして、天災やパソコンの故障などの物理的要因よりも、多くの情報漏えいを引き起こしています。
特定非営利活動法人日本ネットワークセキュリティ協会が発表している「情報セキュリティインシデントに関する調査報告書(2018年)」(https://www.jnsa.org/result/incident/2018.html)によると、2018年の情報漏えいの原因は、紛失・置き忘れが26.2%、誤操作が24.6%、管理ミスが12.2%、内部犯罪・内部不正行為が2.9%、不正な情報持ち出しが2.3%。特に、紛失や誤操作などの人的ミスによる情報漏えい事案が数多く起きています。
また、1件あたりの平均想定損害賠償額は6億3,767万円にも上っており、情報漏えいが企業の大きな損害を招いています。逮捕者の発生や、会社が信頼を失うリスクもある情報漏えいは、紛失や操作ミス、内部の不正など「人」に関連する要因に対処することで、大きく減らすことができるのです。
人に関連して起きた情報漏えいの事例
では近年日本では、どのような人的要因による情報漏えいが起きているのでしょうか。情報漏えいの事例を、発生原因や被害規模も含めてお伝えします。
兵庫県尼崎市の全市民46万人の個人情報紛失
兵庫県尼崎市は、2022年6月、委託事業者が全市民46万人の個人情報が入ったUSBメモリーを紛失したと発表しました。委託事業者の関係社員がコールセンターでのデータ移管作業のため、カバンに入れてUSBメモリーを持ち出し。データ移管完了後、飲食店に立ち寄り帰宅した後にカバンの紛失が発覚しました。USBにはパスワードがかけられており、外部への漏えいは確認できないままUSBメモリーは発見されたものの、氏名、住所、生年月日、性別などの市民の情報が一時、紛失しました。
調査委員会は、事業者が市に電子記録媒体で個人情報を運搬する許可をとっていなかったこと、輸送にセキュリティ便など適切な方法を使わなかったことなどを発生原因に挙げています。尼崎市は今後、情報の扱いに関するセキュリティマネジメントを徹底するとしています。
教育関連企業で委託会社の職員が個人情報を流出
2014年6月、教育関連企業が、顧客からの問い合わせから個人情報が社外へ漏えいしている可能性を認識し、調査を開始しました。7月に同社は、委託先の元社員が顧客情報を不正に取得して、名簿会社に売却していたと発表。3504万件の顧客情報が流出していたとわかりました。
7月には不正競争防止法違反の疑いで、教育関連企業のグループ会社の業務委託先元社員が警視庁に逮捕されました。同社は、個人情報が漏えいした顧客へのお詫びの品や受講料減額などで発生した損失や、幹部の引責辞任、企業イメージへの影響など、大きな損害を受けました。
誤送信で1023件のメールアドレスが流出
不動産会社で、2022年5月、メール誤送信によるサービス会員のメールアドレス流出事案が発生しました。社員が会員ユーザーに一斉メールを送る際に、toとbccを間違えてアドレスを入力。ユーザー間で、1,023件の他会員のメールアドレスが表示される状態が起こりました。メールを送信した当日中に、会員からの指摘で情報の流出が発覚。同社は、送信先にお詫びのメールを送るとともに、監督官庁への報告を行いました。
同社は、再発防止のため、個人情報を含むメール送信の際に遵守すべき事項を再整備し社員に周知徹底すると公表。また、社員への継続的な情報セキュリティ教育を徹底し、情報管理体制を強化すると発表しました。
システム設定ミスで顧客データの外部閲覧が可能に
2021年、健康増進支援サービスなどを行う企業で、システム設定ミスによる情報漏えいが発生。問い合わせフォームに顧客が入力した情報が、外部から閲覧可能な状態で保存されていたことがわかりました。閲覧可能だった期間は、2018年4月~2021年1月。利用者の所属企業名や氏名、メールアドレス、電話番号、問い合わせ内容など、12,019人分の情報が外部から見られる状態でした。
同社は、発覚後すぐにデータを外部から閲覧ができない場所へ退避。情報の不正利用の報告はなく、インターネット上に公開されている状況も確認できていないと発表しました。今後は再発防止に向けて、情報管理体制をより強化すると表明しています。
人的セキュリティ対策の具体策
日常業務の些細なミスや誤操作が、大きな損害を招く情報トラブルを引き起こします。では、そのような人的脅威は、どのように防げばよいのでしょうか。人的セキュリティ対策の具体策を解説します。
セキュリティマニュアルとルールの策定
人的セキュリティ強化に欠かせないのは、情報セキュリティに関するマニュアルやルールの整備です。情報の取り扱いやデータの持ち出し、電子メール使用時やインターネット閲覧時の注意事項など、情報漏えいを防ぐためのセキュリティルールを構築しましょう。
また、顧客情報を取り扱うシステムの設定などの操作や、メール送信時の手順とルールをマニュアル化することも重要です。ミスを発見し、情報の流出を未然に防ぐためのチェック体制も整備しましょう。
社員教育の実施
マニュアルやルールを整備したら、社員に対する情報セキュリティ教育を行います。個人情報保護や、情報セキュリティに関する研修のほか、内部不正を防ぐためのコンプライアンス研修も実施しましょう。
まずは、情報を取り扱う際のルールやマニュアル、プライバシーポリシーを周知徹底。また、業務上で注意すべきことを社員に具体的に理解してもらうため、情報漏えいの具体的事例を示し、人的ミスの種類や、漏えい発生時の損害を伝えましょう。情報漏えいが起きた際の報告手順や対策についても周知します。また、情報に関する研修は、派遣社員やアルバイトを含む全従業員に対して必ず行いましょう。
内部不正を防ぐための制限の設置
データの持ち出しなど、社員による内部不正を防ぐためのルールや制限も必須です。情報の格付けとアクセス制限、デバイス使用や情報持ち出しの制限、アクセス権の運用ルール、情報持ち出し時の記録方法などを設定し、情報の閲覧・取り扱いができる対象者の範囲を制限します。重要な情報に、必要以上の社員が接触できないような環境を作りましょう。
USBメモリーやスマートフォンなど、外部デバイスがパソコンに接続された際のチェックや、ウェブへのアップロード操作のチェックなど、監視機能によって内部不正を防ぐ方法も有効です。
発生時に被害拡大を防ぐための対策
万が一、情報漏えいが起きてしまった際の対策も必要です。対策チームを設けて情報漏えい発生時のシミュレーションを行い、報告手順、捜査機関への届出、社外への発表方法など、非常時の対応に関するマニュアルや体制を整備します。
マニュアルに従って情報トラブルに迅速に対応することで、流出情報の不正利用を防ぐなど、被害の拡大を抑えることができます。また、情報が流出した顧客への対応や、原因の解明や今後の対策に関する公表内容次第では、企業の信頼失墜を最小限に止めることも可能です。
働き方改革の推進が人的脅威の抑制に
働き方改革によって、従業員の仕事への満足度や会社へのエンゲージメントを高めることも、有効な人的セキュリティ対策のひとつです。
社員のセキュリティに対する知識不足や、自社の情報を守ることへの意識の低さが、情報漏えいなどのリスクにつながります。自らのセキュリティ対策が会社の利益につながり、それが自分の仕事へのやりがいに結びつくと、社員ひとりひとりが理解することが、情報漏えいを防ぐのです。
また、社員の不正や悪意による情報漏えいは、会社や仕事に対する不満が高い職場で発生しやすくなります。長時間労働や業務の非効率など、社員の不満を招く要因をなくすとともに、コミュニケーションが活発で働きやすい職場を作ることが、人的セキュリティ対策の観点からも重要です。
「人」からセキュリティを強化しよう!
企業にとって大切な情報を守るためには、外部からの攻撃に備えたシステム面の対策、破損などの物理面の対策も重要ですが、それだけでは不十分です。社員がセキュリティに関する十分な知識を得られる機会の提供や、ミスを防ぐマニュアル整備など、「人」へのケアが、企業に求められるセキュリティ強化策です。その重要性を理解して、今すぐ対策を進めましょう。
記事執筆
働き方改革ラボ 編集部 (リコージャパン株式会社運営)
「働き方改革ラボ」は、”働き方改革”が他人ゴトから自分ゴトになるきっかけ『!』を発信するメディアサイトです。
「働き方改革って、こうだったんだ!」「こんな働き方、いいかも!」
そんなきっかけ『!』になるコンテンツを提供してまいります。新着情報はFacebookにてお知らせいたします。
この記事の内容をまとめた無料資料をダウンロードして、社内で情報共有しませんか?
この記事の内容を社内で共有するには、わかりやすくまとまった無料資料が便利です。ダウンロードした資料は、メールや社内SNSでの共有も簡単。会議資料としてそのままご利用いただくことも可能ですので、用途に合わせてすばやく情報共有できます。ぜひ、貴社の働き方改革の推進にご利用ください。
右のフォームからお申し込みをお願いします。
お役立ち資料ダウンロードのリンクを記載したメールを返信いたします。
記事タイトルとURLをコピーしました!
https://www.ricoh.co.jp/magazines/workstyle/download/human-security/