第33回
企業が行うべきリスクヘッジ【第3回 情報漏えいのリスクヘッジ】
株式会社TMR 執筆
1.情報漏えいのリスク
2.情報漏えいが増加する背景
3.情報漏えいのリスクヘッジ
企業のリスクと言われて思い浮かぶものの一つとして、情報漏えいがあります。取引先や顧客、社員の個人情報やクレジットカード情報、アカウント、パスワードなどの直接金銭被害の危険がある情報、社外秘の企画や経理内容等の社内情報など、企業が守るべき情報の漏えいに関する事件は後を絶ちません。会社の役職員をはじめとする会社関係者による不正持ち出しだけでなく、内部のITリテラシーの低さや外部からの侵入による漏えいなど、その経路には様々なものがあります。企業として対策を怠ったことが要因で漏えいした場合、漏えいの原因となった個人だけでなく、企業として責任を問われることになります。
今回は情報漏えいのリスク対策についてご説明いたします。
1. 情報漏えいのリスク
ある調査機関の発表によれば、上場企業とその子会社で不正な情報持ち出しによる情報漏えい事件が発生した件数は2022年に150件を超えており、2019年の約80件から3年間で倍増 しています。
漏えいする前に対処(予防措置)できれば、被害は最小限で抑えられますが、情報漏えいしてしまった場合は、その内容により大きな影響や損害を招く恐れがある他、たとえ損害は小さくても 関係各所への報告が必要となり、企業名が公表される場合もあります。また、漏えい後の対応などを誤ると信頼を損なうだけでなく、企業存続の危機 となることもありえます。
2. 情報漏えいが増加する背景
リスクヘッジは、まず、リスクを認識できなければなりません。そのためには何がリスクとなり得るのかを認識/想定する必要があります。次に、リスクを発見した場合にどのように行動するのかを理解し、組織として行動できるようにしておくことが必要です。そのために行わなければならないことを以下に挙げます。
① 働き方の多様化
働き方改革により雇用形態が多様化し、リモートワークで業務上必要なデータを使用するなど、情報へのアクセス手段も増え管理も煩雑となっています。悪意なく持ち出したデータが漏えいしてしまうこともあり、このような環境変化に対応するためには、アクセス管理や情報持出ルールの規定や周知だけでなく、役職員 のリテラシー向上なども必要となります。
② 決済方法の多様化
クレジットカードに加え、QRコード決済や後払いサービスなど決済手段の選択肢が広がり、パソコンからだけでなくスマートフォンで気軽に決済できるスタイルが定着したことにより、情報を抜き取る手口や手法も多様化しています。
フィッシング詐欺では、対象となった企業側が責任を問われることはなくとも、その企業のECサイトの使用に対する不安から売上が減少してしまうことがあります。また、多様化する決済方法のセキュリティの穴をねらわれるケースもあり、ECサイトやスマートフォン用アプリの制作を外部業者に委託する際は、その外部業者が信用に足る企業であることを前提に、制作するシステムの内容だけでなく、委託契約の内容を慎重に確認しておく必要があります。
③ 生成AIによる情報漏えい
ChatGPTなどの生成AIが急速に普及したことで、様々な用途でAIが利用されるようになりました。生成AIを適切かつ効果的に活用することで、生産性の向上や様々な課題解決につながる可能性もあります。一方で、生成AIは利用者が入力した情報を学習し、情報を更新していく仕組みのため、何気なく秘匿性の高い情報を入力してしまうと、その情報を学習し、他のユーザーへの回答として秘匿性の高い内容が漏えいしてしまうことや、入力内容から生成された誤った情報を鵜呑みにされてしまう危険性 があります。
すでに海外では、会社の機密情報をAIに入力したことで、情報漏えいが発生した事例が報告されています。日本でも一部自治体では独自のガイドラインや条例を設け対策を講じており、一般企業でも運用指針の制定 が急がれています。
3. 情報漏えいのリスクヘッジ
大きく分けて、システム的な対策と人為的なリスクへの対策の2つがあり、人為的なものについては、各個人への対策と組織的な対策とが必要となります。
① システム面での情報セキュリティ対策
企業側が暗号化パスワードを最新のセキュリティ基準で生成し配布することや多段階認証を取り入れるなど、アカウント管理は最新の手法を取り入れることが望ましいです。
また、ログ(記録)のチェックによる異常アクセスの検知、入退室ログ監視によるサーバールームなどの物理的境界への入退室管理など、検知するしくみと異常が発生した場合の対策を行うことが必須です。万一、何も対策が行われず情報漏えい事故が発生した場合は、企業側の責任が問われることになります。
② 人為的な情報漏えい対策
■ 各個人への対策
・ 働き方に合わせたルールの策定と誓約書の締結
外出やリモートワークの有無、副業を持つか否かなど、働き方に即して社内規程の改定や追加を行い、責任の所在も明らかにしておくことが大切です。また、採用している役職員からは、雇用契約時に秘密保持に関する誓約書を提出してもらうとともに、情報セキュリティ講習への参加を必須とするなど、情報漏えいに対する意識・知識づけを行います。
・ 情報セキュリティ教育の実施
アクセス権限の貸し借り禁止やデータ持ち出しの制限、データ廃棄方法など、基本ルールを身に付けるための情報セキュリティ教育と共に、万が一、情報漏えいを発生させてしまった場合の報告経路や緊急対応など、被害の最小限化と二次被害防止のための対策を周知徹底しておくことが必要です。
報告をせず隠ぺいすることを防ぐために、報告しやすい環境を構築することや役職員間の相互監視や多重チェック体制を構築することと報告の義務化 を徹底する対策は特に重要です。
■ 組織的な対策
・ 組織として対応できる体制
働き方改革やAIの普及など、取り巻く環境の変化にいち早く対応するためには、組織として根幹となるセキュリティポリシーをはじめとするルールの制定・改訂やセキュリティ教育の内容の見直し、外部委託時や雇用契約時の書面の内容改訂などを速やかに行える体制が必要です。
今後も情報の取り扱い手段の増加や変化が短いサイクルで発生すると考えられるため、定期的な見直しや更新を行うことで、変化に対応できる体制を構築しておくことが大切だと言えます。
情報漏えいはリスクの中でも企業のダメージが大きく、対策は必要不可欠です。しかし、情報化社会の変化は速く、雇用形態も多様化する現代において、一般的なガイドラインやマニュアルでは情報漏えいのリスクヘッジは万全とはいきません。自社のみでの対応が困難な場合は、情報セキュリティ対策の専門家に協力を仰ぐことも有効です。
株式会社TMRは、リスクマネジメント研修やリスクマネジメントのコンサルティング、社員教育のしくみづくりなどの実績が豊富です。セキュリティ講習の他、組織構築支援や各種相談窓口設置も行っています。長年にわたるリスクマネジメント支援や社員能力育成で培ってきた独自のノウハウをご提供させていただきます。
※転載元 株式会社TMR お役立ち情報「企業が行うべきリスクヘッジ 第3回 情報漏えいのリスクヘッジ」
プロフィール
株式会社TMRはビジネスにおけるあらゆるリスク対応を支援し、企業価値の向上を全力でサポートします。
・信用を第一に「誠意」「正確」「迅速」をモットーにご納得いただくまで親身にご説明いたします。
・マスコミや弁護士事務所、警察関連組織などへの調査協力も行っており、法令遵守で調査情報の秘密厳守、社会正義に即した調査を行います。
・ISO27001認証を取得しており、調査後の調査資料の廃棄に至るまで厳格に管理しています。
取引先や社員、株主などを対象に「反社会的勢力」との関係をチェックします。情報収集と収集した情報の蓄積を行い、独自でデータベースを構築し、情報利用についても熟知しているため、安心してお任せいただけます。
■信用調査
企業の与信調査(不動産や資産など)から採用時の個人 調査、その他、長年のノウハウを活用したきめの細かい各種信用調査を行います。
与信調査・不動産・資産・債権保全・信用調査・採用 入居者審査・身元調査・市場調査・各種マーケティングリサーチ・テナント調査・身元調査・訴訟関連・債権関連など
ISMS認証のノウハウを活用した情報セキュリティ対策支援やネット風評対策、ハラスメント対策などの企業のリスク対策のほか、盗聴対策などの個人向けの対策を含め、あらゆるリスク対策について対応可能です。
企業リスク対策(情報セキュリティ、情報漏洩等)・ネット風評対策・ハラスメント対策・各種相談窓口開設(コールセンター、内部告発等)・その他 盗聴対策、各種セミナー開催など
Webサイト:株式会社TMR
- 第44回 雇用リスクとは?【第1回 安全配慮義務の対策】
- 第43回 経営者リスクとは?
- 第42回 海外取引のリスク【第2回 海外取引におけるリスクマネジメント】
- 第41回 海外取引のリスク【第1回 海外取引における信用調査の重要性】
- 第40回 営業秘密の保護
- 第39回 業務上横領にはどう対応すべきか
- 第38回 企業のBCP対策【第2回 BCP対策の手順】
- 第37回 企業のBCP対策【第1回 BCP対策の状況】
- 第36回 企業不祥事の要因【第2回 自動車開発の不正認証取得事例から見る改善ポイント】
- 第35回 企業不祥事の要因【第1回 自動車関連企業の不正】
- 第34回 企業が行うべきリスクヘッジ【第4回 盗聴・盗撮から企業を守るためのリスクヘッジ】
- 第33回 企業が行うべきリスクヘッジ【第3回 情報漏えいのリスクヘッジ】
- 第32回 企業が行うべきリスクヘッジ【第2回 リスクヘッジの取り組み方】
- 第31回 企業が行うべきリスクヘッジ【第1回 リスクヘッジ能力の高い人材の確保と育成】
- 第30回 職場の心理的安全性
- 第29回 注意義務となっている反社チェック
- 第28回 投資先、出資先とのトラブル未然防止と発生後の対処
- 第27回 企業が行うべき反社チェックとは
- 第26回 企業におけるハラスメント 【第4回 企業間で発生するカスタマーハラスメント(カスハラ)とその対応】
- 第25回 企業におけるハラスメント【第3回 カスタマーハラスメントへの対応】
- 第24回 企業におけるハラスメント【第2回 パワーハラスメントの分類と事例】
- 第23回 企業におけるハラスメント【第1回パワーハラスメントがもたらす企業リスク】
- 第22回 企業のリスクマネジメントとして行う素行調査の有効性
- 第21回 反社チェックのポイント(採用編)
- 第20回 採用リスクを回避するバックグラウンドチェック(経歴調査)とは
- 第19回 個人情報との向き合い方【第2回 情報が流出する原因とリスクマネジメント】
- 第18回 個人情報との向き合い方【第1回 個人情報の背景と現在】
- 第17回 外部専門会社を活用した前職調査や身元調査で明らかになるネガティブ情報とは
- 第16回 資金調達における反社会的勢力の規制への対応について
- 第15回 倒産リスクのシグナルを読み取る必要性とポイント
- 第14回 顧客満足度を向上させるための相談窓口の設置
- 第13回 信用取引において必要不可欠な与信管理とは
- 第12回 オンライン面接へシフトする採用市場における調査専門会社の活用
- 第11回 採用時にネガティブ情報をつきとめるバックグラウンドチェック
- 第10回 企業の社会的責任として求められる、組織全体で行う反社対策
- 第9回 自社の内部統制は本当に機能していますか? 【第3回 内部統制の効果的な運用】
- 第8回 自社の内部統制は本当に機能していますか? 【第2回 内部統制の体制づくり】
- 第7回 自社の内部統制は本当に機能していますか? 【第1回 内部統制とは?】
- 第6回 不良債権リスクの高まりでより必要不可欠となる与信管理
- 第5回 コロナ禍の資金調達難に付け入る反社や黒社会の融資や買収の危険性
- 第4回 アリバイ会社との取引が懸念される場合の企業調査対策とは
- 第3回 採用調査で重要性が増しているリファレンスチェック
- 第2回 ビジネス取引において実施される信用調査とは
- 第1回 貸し倒れリスクを回避するための債権回収の対策