情報漏洩の多くは『ヒューマンエラー』が原因
情報漏洩対策の近道は従業員教育なのです。
情報漏洩の実態: まだまだ情報漏洩の原因は内部的要因
JNSA 情報セキュリティインシデントに関する調査報告書より引用
情報漏洩は、内部の人間が引き起こす割合が約8割で、外部からの悪意ある攻撃による割合は2割程度です。その内部理由とは、管理ミス、誤操作、紛失などの「人の不注意」であり、まさしく「人災」です。 内部の人間の意識改革をいかに行うかがカギなのです。
従業員の「意識改革」が最重要課題なのです。
意識の欠如により発生した情報漏洩の事例
事例1(置き忘れ):●●市内中学校の場合
教諭が教室に個人成績表を置き忘れ
この程度のミスでも報道発表が必要 先生も人の子ですから忘れることもあると思います。しかし、忘れるものが個人情報だった場合、騒ぎが通常のものではなくなるのが現状の社会です。 昔の情報漏洩は洩れた情報が他人に利用され、どんな被害があったのか? この大きさによって事の大小が判断されていました。 しかし現在は、漏れた情報が使われた被害以前に、情報を漏らした組織の管理体制が問われるようになっています。
事例2(誤配信):●●県の場合
業務委託先企業でメール誤配信
本当に多い事例です。 この事例は一番多い情報漏洩の一つかもしれません。BCCに入力するはずのアドレスをtoないしはccに入力し、チェックも疎かに送信ボタンを押すことで発生。 メール一斉配信についてのルール及び仕組みが必要。再発防止について書かれているような人的なチェック体制の強化も必要かもしれないですが、outlookなどのメーラーを使用する限り根絶は不可能と思われます。メール一斉配信をされるような場合は、専用の一斉配信システムを利用しないと可能性はゼロにはなりません。
事例3(盗難紛失):●●●電力の場合
業務委託先企業で盗難紛失
車上荒らしなども非常に多い 今回は紙媒体の持ち帰りで自宅への泥棒侵入によるものですが、よくあるのが車上荒らしにより「紙情報」「パソコン」「USB」などの盗難被害も多いです。見える場所に放置しているので狙われます。 車を利用の場合は後部座席の下など見えない場所へ隠すことが必要です。 書類の管理規定があったのか不明ですが、持ち帰ってはダメな書類を持ち帰り、紛失するケースも非常に多いです。個人情報の場合は特に「持出し可能な書類かどうか」や「持ち出す場合の管理台帳」など、ルールがあることが望ましいと思います。
事例4(文書廃棄):広島の養護施設場合
文書廃棄したはずの文書が路上で発見される
紙の廃棄も仕組みが必要
ここ15年ほどで機密文書の廃棄を業者委託する方法が定着しました。多くの処理方法が段ボールに対象の文書を積めて、業者に引き取ってもらう処理方法。業者はその文書を製紙会社や焼却施設に運び処理をしてもらう。その運搬道中の紛失がこの事例です。その他、処分施設でも立会いがない場合は積み置きされるなど、目の届かない場所での不安が残る方法が実は多いのです。ではどのように処理を行うことが安全なのか? 基本はシュレッダーです。“シュレッダーされたものが引っ付けられて情報漏洩が発生した。”という事例は私が知る限り聞いたことがありません。わざわざそこまでして情報を盗むなら他の方法が選択されるのではないでしょうか?
「意識改革」の事例
従業員セキュリテイ教育の事例 : 匿名A社様
外部の専門家による研修
平成29年5月 匿名企業様にて20名ほど対象 動 機 : 改正個人情報保護法が施行。それに伴う社内教育が必要であり、社内にて多くの社員で実施できる。 実施時間:約90分 |
実施の結果
【ご担当者様より】
満足しています。具体例も沢山あり、各担当者にも分かり易いと感じました。
【参加者様より】
- 意識と知識、性悪説に基づく警戒心の必要性を感じました。
- 情報漏洩の原因は紙ベースが50%。また、要因は人的ミスによるものが80%にもなるとは驚きました。
- 今まで少し席を離れるだけならとパソコンを開いたままでいましたが、これからは気を付けます。情報漏洩の当事者にならいように気を引き締めます。
- どういう意識を持って作業に取り組むべきなのかよく分かりました。
- 関連会社は踏み台として狙われやすいので特に気を付けなければ。実際に事が起こったらと考えると恐ろしいです。
- 個人情報に関する資料はインターネットで簡単に入手できますが、文字だけで分かりにくい部分があります。今回のような勉強会だと見やすい資料やビデオ、また事例などを挙げて説明して頂けたので分かり易かった。
アリビオの考え方
ISO27001の運用などでも「従業員教育」は重要な取組みとなります。ここが充実されている企業は上手く情報セキュリティが運用されています。一般的に研修内容は企業のルールがあり、それを順守するよう指導する内容が多いように伺いますが、弊社はそのルールがどのような理由から作られるのか。会社からのルールの押し付けではないと理解できるような内容で研修を行います。従業員の方々も現状より能動的に情報漏洩対策を行うようになるようお手伝いをさせた頂きます。
ご不明な点、以下よりお問合せ下さい。