第36回 改正個人情報保護法 その2

  • Clip to Evernote
  • Check

インターネットで個人情報漏えいで検索をかけると、様々な事件・事故が報告されていますね。 では、実際に年間どれくらいの漏えい事件・事故が起こっているのでしょうか? NPO日本ネットワークセキュリティ協会の「2016年 情報セキュリティインシデントに関する調査報告書」によると、 インシデント件数:468件、漏えい人数:1,396万人、想定損害賠償総額:約2,788億円と発表されました。 個人情報が漏えいすれば損害賠償などの金銭的な損失、信用を失い顧客の喪失や業務の損失...などが起こり、最悪の場合、 経営が成り立たなくなります。 さて、あなたの会社はセキュリティ対策は万全ですか?この機会に自社のセキュリティ対策を見直しましょう。



情報漏えいの原因


個人情報の漏えいというと不正アクセスなどの外部からの攻撃によるものをイメージしがちですが、実は不正アクセスによるものより従業員からの漏えいが多いのです。

原因としては


1.管理ミス

    個人情報の所在が分からなくなる、書類をそのまま廃棄する

2.誤操作

    Faxやメールの誤送信(宛先や内容、添付ファイルを間違える)、操作をミスする

3.紛失・置き忘れ・盗難

    情報機器やデータを外部に持ち出し紛失する、置き忘れる、また車上荒らしなどの盗難にあう

4.意図的な情報漏えい

    転売や報復などの目的で個人情報を持ち出す

5.外部からの悪意のある攻撃

    不正アクセスやマルウェアに感染し、内部情報が流出する


などが挙げられます。


個人情報の漏えいを防ぐために

対策として個人で取り組めることもありますが、それでは不十分です。やはり企業としてセキュリティ対策に取り組んで
いかなければなりません。
まずは自社の状況をチェックしてみましょう。


  1. 個人情報漏えいの取組みを行っていない

  2. Faxやメールを送信する前に宛先を確認していない

  3. 職場から個人情報を持ち出している

  4. ウイルスソフトを導入・更新していない

  5. 定期的にパスワードを変更していない

  6. 個人情報が記載されている書類をそのまま廃棄している

  7. ファイル交換ソフトを利用している

  8. 個人の機器を職場に持ち込み、ネットワークに接続している

  9. 公共の場で個人情報を含む会話をしてる

  10. ウェブサイトに個人情報を入力するときにサイトは本物か確認していない


1つでも当てはまるのであれば個人情報が危険な状態になっているかもしれません。
特に個人情報漏えいの取組み自体を行っていないのは論外です。今すぐ取り組んでください。



個人情報漏えい対策

1.守秘義務の周知

業務上知り得た情報を口外しない、させないため、企業間だけではなく、従業員とも守秘義務契約を結びましょう。

2.私物機器の利用

個人所有のパソコンやタブレット、スマートフォンを業務での使用は原則禁止。やむを得ず使用する場合には許可制にし、

ネットワークに接続するときは、接続前にウイルスチェックを実施するなどしてセキュリティを確保します。

3.保管・持出のルール

重要情報は机の上などに放置せず、決められた保管場所に戻します。持ち出す場合は許可制とし、ノートパソコンや

USBメモリなどはパスワードでロックしたり暗号化して、持出途中や持出先で紛失しないよう注意しましょう。

4.廃棄のルール

重要情報を廃棄する場合はそのまま破棄すると部外者の目に触れる可能性があります。紙の書類ならシュレッダーに

かけたり焼却処分します。電子媒体に保存された情報は復元できないように物理的に破壊する、消去用ソフトウェアを

を利用して消去を行います。
5.OSやソフトウェアの脆弱性対策

OSにはセキュリティ上の問題点が発生すると、この問題点を修復するための更新プログラム

(windowsだとwindowsupdate)が配布されます。この更新プログラムを速やかに適用します。

適用漏れをなくすために更新プログラムを自動的に適用する設定を行うのがベスト。

6.ウイルス対策

マルウェアは1日平均10万件確認されています。マルウェアの感染を防ぐためにウイルス対策ソフトを導入し、

かけたり焼却処分します。電子媒体に保存された情報は復元できないように物理的に破壊する、消去用ソフトウェアを

こちらもウイルス定義ファイルが常に最新になるよう設定しておきます。

7.従業員教育

情報漏えいの原因の多くは「うっかりミス」です。うっかりミスは慣れることで管理意識が薄れると発生しがちです。

そうならないよう定期的に情報管理の大切さを意識づけるために研修会を開催したり、セミナーなどに参加させましょう。

8.事故への備え

が一に事故が発生したときに被害を最小限に止めるため、どのように対応するか手順書を纏めておきましょう。

例えば緊急事態発生時の連絡網、報告、原因究明、被害対象者への通知・公表といった手順。


如何ですか?詳しくはIPAのサイトに情報がありますので、そちらを参照してください。

セキュリティ対策において教育は重要なファクターです。 日頃扱っている情報が重要なのもだという意識がなければ、事故が発生する可能性が高まります。 意識付けは1回の教育では浸透しませんので、年1回は研修を開催するなど定期的、継続的に行う必要があります。 私どもではセキュリティの啓蒙活動として、営業はお客様にセキュリティ勉強会を年2回、開催しなければなりません。 この機会に利用されては如何でしょうか?

出展:NPO日本ネットワークセキュリティ協会、独立行政法人情報処理推進機構