企業が行うべきリスクヘッジ【第3回　情報漏えいのリスクヘッジ】

１．情報漏えいのリスク
２．情報漏えいが増加する背景
３．情報漏えいのリスクヘッジ

企業のリスクと言われて思い浮かぶものの一つとして、情報漏えいがあります。取引先や顧客、社員の個人情報やクレジットカード情報、アカウント、パスワードなどの直接金銭被害の危険がある情報、社外秘の企画や経理内容等の社内情報など、企業が守るべき情報の漏えいに関する事件は後を絶ちません。会社の役職員をはじめとする会社関係者による不正持ち出しだけでなく、内部のITリテラシーの低さや外部からの侵入による漏えいなど、その経路には様々なものがあります。企業として対策を怠ったことが要因で漏えいした場合、漏えいの原因となった個人だけでなく、企業として責任を問われることになります。

今回は情報漏えいのリスク対策についてご説明いたします。

1. 情報漏えいのリスク

ある調査機関の発表によれば、上場企業とその子会社で不正な情報持ち出しによる情報漏えい事件が発生した件数は2022年に150件を超えており、2019年の約80件から３年間で倍増 しています。

漏えいする前に対処（予防措置）できれば、被害は最小限で抑えられますが、情報漏えいしてしまった場合は、その内容により大きな影響や損害を招く恐れがある他、たとえ損害は小さくても 関係各所への報告が必要となり、企業名が公表される場合もあります。また、漏えい後の対応などを誤ると信頼を損なうだけでなく、企業存続の危機 となることもありえます。

2. 情報漏えいが増加する背景

リスクヘッジは、まず、リスクを認識できなければなりません。そのためには何がリスクとなり得るのかを認識／想定する必要があります。次に、リスクを発見した場合にどのように行動するのかを理解し、組織として行動できるようにしておくことが必要です。そのために行わなければならないことを以下に挙げます。

① 働き方の多様化

働き方改革により雇用形態が多様化し、リモートワークで業務上必要なデータを使用するなど、情報へのアクセス手段も増え管理も煩雑となっています。悪意なく持ち出したデータが漏えいしてしまうこともあり、このような環境変化に対応するためには、アクセス管理や情報持出ルールの規定や周知だけでなく、役職員 のリテラシー向上なども必要となります。

② 決済方法の多様化

クレジットカードに加え、QRコード決済や後払いサービスなど決済手段の選択肢が広がり、パソコンからだけでなくスマートフォンで気軽に決済できるスタイルが定着したことにより、情報を抜き取る手口や手法も多様化しています。

フィッシング詐欺では、対象となった企業側が責任を問われることはなくとも、その企業のECサイトの使用に対する不安から売上が減少してしまうことがあります。また、多様化する決済方法のセキュリティの穴をねらわれるケースもあり、ECサイトやスマートフォン用アプリの制作を外部業者に委託する際は、その外部業者が信用に足る企業であることを前提に、制作するシステムの内容だけでなく、委託契約の内容を慎重に確認しておく必要があります。

③ 生成AIによる情報漏えい

ChatGPTなどの生成AIが急速に普及したことで、様々な用途でAIが利用されるようになりました。生成AIを適切かつ効果的に活用することで、生産性の向上や様々な課題解決につながる可能性もあります。一方で、生成AIは利用者が入力した情報を学習し、情報を更新していく仕組みのため、何気なく秘匿性の高い情報を入力してしまうと、その情報を学習し、他のユーザーへの回答として秘匿性の高い内容が漏えいしてしまうことや、入力内容から生成された誤った情報を鵜呑みにされてしまう危険性 があります。

すでに海外では、会社の機密情報をAIに入力したことで、情報漏えいが発生した事例が報告されています。日本でも一部自治体では独自のガイドラインや条例を設け対策を講じており、一般企業でも運用指針の制定 が急がれています。

3. 情報漏えいのリスクヘッジ

大きく分けて、システム的な対策と人為的なリスクへの対策の２つがあり、人為的なものについては、各個人への対策と組織的な対策とが必要となります。

① システム面での情報セキュリティ対策

企業側が暗号化パスワードを最新のセキュリティ基準で生成し配布することや多段階認証を取り入れるなど、アカウント管理は最新の手法を取り入れることが望ましいです。

また、ログ（記録）のチェックによる異常アクセスの検知、入退室ログ監視によるサーバールームなどの物理的境界への入退室管理など、検知するしくみと異常が発生した場合の対策を行うことが必須です。万一、何も対策が行われず情報漏えい事故が発生した場合は、企業側の責任が問われることになります。

② 人為的な情報漏えい対策

■ 各個人への対策

・ 働き方に合わせたルールの策定と誓約書の締結

外出やリモートワークの有無、副業を持つか否かなど、働き方に即して社内規程の改定や追加を行い、責任の所在も明らかにしておくことが大切です。また、採用している役職員からは、雇用契約時に秘密保持に関する誓約書を提出してもらうとともに、情報セキュリティ講習への参加を必須とするなど、情報漏えいに対する意識・知識づけを行います。

・ 情報セキュリティ教育の実施

アクセス権限の貸し借り禁止やデータ持ち出しの制限、データ廃棄方法など、基本ルールを身に付けるための情報セキュリティ教育と共に、万が一、情報漏えいを発生させてしまった場合の報告経路や緊急対応など、被害の最小限化と二次被害防止のための対策を周知徹底しておくことが必要です。

報告をせず隠ぺいすることを防ぐために、報告しやすい環境を構築することや役職員間の相互監視や多重チェック体制を構築することと報告の義務化 を徹底する対策は特に重要です。

■ 組織的な対策

・ 組織として対応できる体制

働き方改革やAIの普及など、取り巻く環境の変化にいち早く対応するためには、組織として根幹となるセキュリティポリシーをはじめとするルールの制定・改訂やセキュリティ教育の内容の見直し、外部委託時や雇用契約時の書面の内容改訂などを速やかに行える体制が必要です。

今後も情報の取り扱い手段の増加や変化が短いサイクルで発生すると考えられるため、定期的な見直しや更新を行うことで、変化に対応できる体制を構築しておくことが大切だと言えます。

情報漏えいはリスクの中でも企業のダメージが大きく、対策は必要不可欠です。しかし、情報化社会の変化は速く、雇用形態も多様化する現代において、一般的なガイドラインやマニュアルでは情報漏えいのリスクヘッジは万全とはいきません。自社のみでの対応が困難な場合は、情報セキュリティ対策の専門家に協力を仰ぐことも有効です。