情報セキュリティ

8記事
blog

内部不正の対策とは?注目される背景や不正が起こる原因などについても詳しく解説

社内の従業員や委託先企業などによって、個人情報や情報資産が外部に流出してしまう「内部不正」が後を絶ちません。 近年は故意ではない過失も、内部不正として見なされることがあります。「自分は不正なんて絶対しない」と考えている社員であっても、意図せず内部不正に関わってしまうことがあるかもしれません。そのため、企業は内部不正に細心の注意を払い、日ごろから社内でセキュリティに対する意識を高める取り組みを進めましょう。 今回は内部不正が起こる原因に触れながら、具体的な対策ポイントを解説していきます。経営者や企業で人事を担当している方は、ぜひ参考にしてみてください。 内部不正とは? 内部不正とは、組織や企業内部の関係者が社内の機密情報や顧客情報を持ち出し、漏えい、消去、破壊することです。また、誤って情報を流出させてしてしまった場合も内部不正に当たります。 情報セキュリティの不正によって起こる事案(セキュリティインシデント)は、世間に報道されてしまうと企業の信頼を大きく損ねてしまうこともあるでしょう。 SNS等の普及で誰もが簡単に情報に触れられる時代、未然に内部不正を防ぐ方法や効果的な対策が各企業に必要とされています。また情報漏えい事件以外にも、金銭の横領や違法残業、賃金未払いも内部不正に含まれます。 目次に戻る 内部不正の対策が注目される背景 2022年4月より改正個人情報保護法が施行され、従来努力義務であった情報漏えいの報告は企業で義務化されました。 次に、内部不正対策が注目されている具体的な背景を見ていきましょう。 内部不正が脅威であると感じている 社会が内部不正を脅威であると感じていることが、注目される大きな背景です。IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2020」によると、「内部不正による情報漏えい」は組織カテゴリで2位でした。 脅威であるがゆえに、社内で内部不正が発覚しても世間に報道されることを恐れ、公表されていないことも少なくありません。 委託先のセキュリティ対策が不透明 次に業務委託先のセキュリティ対策が不透明であることが挙げられます。委託先の情報管理を怠り業務を丸投げした結果、過去には次のような事例が発生しました。 委託先が別の事業者へ業務を再委託し、マイナンバー情報が流出 案内メールを誤送信し、関連サービスの登録法人のメールアドレスが流出 住民の個人情報の入ったUSBメモリを委託先企業が無断で持ち出し、後日紛失が発覚 情報セキュリティを甘く見る企業や第三者認証を取得していない企業に依頼してしまうと、このような内部不正が起こってしまう可能性があるでしょう。 また海外の委託先は文化や価値観の違いやセキュリティ予算などの関係で、内部不正に関して十分に把握できていないこともあります。データセキュリティソリューション業界大手のVormetric社の「2015 Vormetric insider threat report」では、海外の約89%の割合で企業が内部不正に対して脆弱性があると回答しました。 第三者に業務を依頼することは経営戦略をとる上で有効的ですが、企業はセキュリティ管理(委託先管理)を徹底しなければなりません。 目次に戻る 内部不正の種類 内部不正は情報流出や漏えいに限ったことではありません。次のような事柄についても、内部不正として処罰されることがあります。 業務上横領 業務上横領は、業務上自己の占有する他人の物を横領する行為です。具体的な手段としては次のようなものがあります。 経費の着服 備品の窃盗 不正送金 会社のクレジットカード・マイルの私的利用など 個人による内部不正だけでなく、上層部や外部企業など組織ぐるみで行われることもあります。金銭の横領は額の大小に関わらず、直接的に企業の経済資産に打撃を与える行為と言えるでしょう。 ハラスメント ハラスメントは、相手の意に沿わない言葉や行動によって不快な思いをさせる嫌がらせのことです。具体的には次のようなハラスメントがあります。 パワーハラスメント セクシュアルハラスメント マタニティハラスメント モラルハラスメント アルコールハラスメントなど ハラスメントの加害者は、上下関係や立場の違いといった優位性を利用することが多くみられます。ハラスメントの被害を受けた社員が休職もしくは退職を余儀なくされるなど、人的資源に打撃を与えるのが特徴と言えるでしょう。 労働基準法違反 残業代、賃金の未払いといった労働基準法違反も企業の内部不正です。違反すると社会からの信用を落とすだけでなく、従業員から損害賠償を請求されることもあります。 また労働基準監督官による立入調査と是正報告書提出を拒否した場合、書類送検されるケースもあるでしょう。 目次に戻る 内部不正が起こる3つの要因 さまざまな内部不正について触れましたが、近年特に問題視されているのが情報漏えいに関するものです。テレワークやSNSの普及による影響が大きいと言えるでしょう。 企業の情報漏えいは、次のような3つの要因によって引き起こされます。 ①技術的要因 1つ目が技術的要因です。社内の情報セキュリティが脆弱であればパスワードも漏れることがあります。 本来権限の与えられていない従業員も情報にアクセスできるようになってしまい、内部不正のリスクが高まるでしょう。 また企業によっては、操作ログで履歴が記録されていないこともあります。誰が情報にアクセスしたのか追跡できないシステムを使用している場合は、内部不正が起こってしまっても経路の検出や追跡が困難で、調査に時間がかかってしまうでしょう。 ②人的要因(故意) 2つ目が悪意を持って行われる人的要因です。IPA(情報処理推進機構)の「組織内部者の不正行為によるインシデント調査」によると、内部不正の要因として「不当だと思う解雇処分を受けた」「給与や賞与に不満がある」といった動機・プレッシャー面を挙げています。 不満を持った社員がいる会社では、故意の情報漏えいが起こる傾向にあると言えるでしょう。 ③人的要因(ヒューマンエラー) 3つ目がミスなどによる人的要因です。情報に触れる際の誤操作、ファイルやUSBの紛失などがこれに該当します。 ヒューマンエラーが発生する背景として、当事者の知識や経験が不足している、キャパシティーを超えた業務を請け負っているといったことが考えられるでしょう。 目次に戻る 具体的な情報漏えい対策 企業はどのような対策で内部不正を防ぐことができるのでしょうか。ここでは具体的にさまざまな対策方法について見ていきます。 内部の監視を強化する 企業の情報漏えいを未然に防ぐため、監視を強化しましょう。具体的には次のようなセキュリティ強化があります。 入退室記録の管理 端末の持ち出し記録の管理 セキュリティアラートの送信 アクセスログ管理と監視 不正アクセスの検知など 内部の監視を強化するときは、権限が特定の従業員に偏らないよう相互監視のルールを整え権限を分散させることがポイントです。内部の監視を強化すれば従業員の不正を防げるだけでなく、システム管理者の負担も減らせます。 内部不正のチェックシートを使う 重要情報の管理や運用が正しく行われているか、従業員への教育が適切にできているかなどチェックシートの作成も効果的です。社内での作成が難しい場合は、IPAの「組織における内部不正防止ガイドライン」などで公開されている外部提供のチェックシートをダウンロードしても良いでしょう。 実際にリストアップして確認することで実態調査ができ、自社のセキュリティを強化する必要のある部分が見えてくるでしょう。 従業員の負担を減らす 従業員の負担を減らすことも考えておきましょう。現場が忙しいほど、人手不足から社員の情報セキュリティ教育を実施する余裕がなくなるからです。 セキュリティ教育は年に数回大規模な研修を実施するよりも、短い時間で定期的に受講できる環境が効果的な場合があります。マイクロラーニングやeラーニングなどを導入すれば、隙間時間で無理なく従業員のセキュリティ意識を高めることができるでしょう。 目次に戻る まとめ 今回は内部不正について解説しました。内部不正の対策が喫緊の課題となっている現代、企業は従業員のセキュリティ教育を徹底するなど、策を講じていかなければならないでしょう。 社内で情報セキュリティの意識を向上させる際は、「learningBOX ON」の情報セキュリティ研修のコンテンツをご活用ください。learningBOX ONは、eラーニング作成・管理システムであるlearningBOXに、企業で必須となる研修コンテンツを簡単に追加することができるサービスです。自社で内製したコンテンツと組み合わせて、オリジナルの学習コースを簡単に設計することが可能です。 情報セキュリティ研修やコンプライアンス研修のコンテンツなどを無料で利用できますので、ぜひ社内研修にご活用ください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る
blog

情報セキュリティ研修をeラーニングで実施する方法や選び方

企業による情報漏えいは、従業員のリテラシー不足が原因となるケースも多く、情報セキュリティ教育の重要性が高まっています。社内研修で知識の定着を図る場合は、eラーニングシステムの活用がおすすめです。 本記事では、情報セキュリティ研修をeラーニングで実施する際のコンテンツ例や、サービスの選び方をお伝えします。コンテンツの作成に役立つサービスや資料もご紹介しますので、ぜひ参考にしてみてください。 情報セキュリティ研修のeラーニングコンテンツの種類 情報セキュリティ教育は、集合研修もしくはeラーニングで行うのが一般的です。情報セキュリティ研修のeラーニングコンテンツには、数多くの学習分野があるので、研修の目的や予算などを考慮し、適切なコンテンツを選定・準備しましょう。 情報セキュリティのeラーニングコンテンツ例 個人情報漏えいをはじめとしたセキュリティインシデントは、業務内容に関わらず発生する可能性があります。発生の要因は、情報資産の紛失からサイバー攻撃までさまざまです。そのため、情報セキュリティ研修を実施する際は、契約形態や役職に関わらず全従業員を対象とするのが望ましいでしょう。 以下に、情報セキュリティ研修のeラーニングコンテンツ例を列挙します。 個人情報保護法の理解や個人情報の適切な取り扱い SNSの利用ルールやリスク コンプライアンス 標的型攻撃メールの脅威と対応策 情報資産や端末管理の重要性 情報セキュリティインシデントの最新事例 IDやパスワード管理 サプライチェーンセキュリティの重要性 クラウドサービスの利用におけるセキュリティリスク 目次に戻る 情報セキュリティ研修用eラーニングコンテンツの選び方 さまざまなサービスから情報セキュリティ研修用のeラーニングが提供されています。社員教育に活用して会社全体のセキュリティ意識を向上させるには、どのような基準で選ぶのが良いのでしょうか。こちらでは、情報セキュリティ研修用eラーニングの選び方のポイントを解説します。 学習分野は汎用型か特化型か eラーニングの学習分野は、提供サービスによって「汎用型」と「特化型」に分けられます。 汎用型 汎用型は、企業ニーズの高い学習分野を幅広く提供しているのが特徴です。コンテンツ内容には情報セキュリティ研修だけでなく、ビジネスマナー研修やハラスメント研修も含まれます。 その時々のニーズに応じて幅広い選択肢から学習分野を選びたい場合は、汎用型がおすすめです。 特化型 特化型は、特定の分野に特化したコンテンツを提供しているのが特徴です。そのため、特定の学習分野における研修の質や頻度を高めたい場合は、特化型がおすすめといえます。例えば、中長期にかけて情報セキュリティ関する研修を集中的に強化する方針を掲げているケースなどが代表的です。 情報セキュリティに関する自社の課題に応じて、重視したい学習分野が提供されているサービスを選びましょう。 コンテンツのカスタマイズは柔軟か eラーニングサービスは、提供会社によってカスタマイズ性に違いがあります。具体的には、提供会社が作成したオリジナルコンテンツを編集せずに利用するタイプと、自社向けにカスタマイズして活用するタイプに分類できます。 情報セキュリティ研修の内容を自社に最適化するには、コンテンツのカスタマイズが柔軟なサービスを導入するのがおすすめです。従業員のリテラシーや業務上求められるノウハウは、組織ごとに異なります。 カスタマイズ性に優れたサービスを選ぶことで、従業員の理解度や受講状況に応じて研修内容を改善でき、継続的な情報セキュリティ教育が可能になります。 料金形態や金額が予算に見合っているか eラーニングサービスの料金形態や金額は、提供会社ごとにさまざまです。具体的には、無料で利用できるサービスや月額費用がかかるサブスクリプションタイプ、初期費用のみ必要な買い切り型、講座を一つ受講するたびに料金がかかるタイプなどがあります。 eラーニングサービスを導入する際は、事前に予算を確保しておき、利用を検討しているサービスの料金形態や金額がそれに見合っているか確認しましょう。 また、無料トライアルを積極的に活用し、使いやすさやコストパフォーマンスが十分か見極めることも重要です。 目次に戻る eラーニングでの情報セキュリティ研修に役立つ情報 最後に、情報セキュリティ研修をeラーニングで実施する際に役立つコンテンツやサービスをご紹介します。求める機能や利用規模、利用頻度に応じて最適なサービスを選択しましょう。 IPA「情報セキュリティ対策支援サイト」 経済産業省が管轄するIPA(情報処理推進機構)が情報セキュリティ対策に関する資料を一般に公開しています。IPAは、国内のIT分野における競争力強化に向けた人材育成などの活動を行っている組織です。 同ページでは、Web会議やテレワーク、長期休暇など目的や場面に応じた具体的なセキュリティ対策が紹介されています。研修資料や配布資料としてダウンロードして活用することも可能です。ログイン不要で手軽に閲覧できるため、一度目を通してみると良いでしょう。 【参考】 対策のしおり | IPA 独立行政法人 情報処理推進機 総務省「国民のためのサイバーセキュリティサイト」 情報セキュリティの基礎知識や対策方法を提供する総務省のWebサイトです。企業や組織における対策では、幹部や社員、情報管理担当者など役割別にカリキュラムが分かれており、全社的に研修を行う場合でも利用しやすい設計となっています。 また、同ページには、過去に行われた情報セキュリティ対策に関するオンライン講座の動画や資料も掲載されています。PDF資料はダウンロードして配布することもできるため、知識の定着に役立つでしょう。 【参考】 国民のためのサイバーセキュリティサイト|総務省 eラーニングシステム「learningBOX」 learningBOXは、オンラインで社員研修を実施できる学習管理システムです。教材やテストの作成、採点、受講履歴の管理などeラーニングに必要な機能が網羅されており、情報セキュリティ研修の内製化に役立ちます。 また、「learningBOX ON」を利用すれば、learningBOXに既存の研修コンテンツを追加することも可能です。情報セキュリティ研修はもちろん、ハラスメント研修やビジネスマナー研修、コンプライアンス研修などのコンテンツを無料で利用でき、自社コンテンツと組み合わせてオリジナルの学習コースを簡単に設計することもできます。 10アカウントまで無料で受講可能ですので、情報セキュリティ研修をeラーニングで実施する際は、ぜひお気軽にお試しください。 目次に戻る 情報セキュリティ研修をeラーニングで実施して学習効率を高めよう 今回は、情報セキュリティ研修をeラーニングで実施する際のコンテンツ内容やサービスの選び方などを解説しました。情報管理のリスクが複雑化・多様化している現代では、企業は情報セキュリティ対策への積極的な投資が求められます。 社内研修もその一種であり、eラーニングで実施することで従業員のリテラシーや階層に合わせたコンテンツの提供が可能になります。情報セキュリティ研修をeラーニングで実施して、知識の定着と学習効率の向上を両立しましょう。 learningBOX ONでは情報セキュリティ研修だけでなく、ハラスメント研修やコンプライアンス研修などの社内研修に必須のコンテンツも無料で利用できますので、ぜひ社内研修にご活用ください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る
blog

情報セキュリティ教育を計画的に進める5つの方法│目的や必要性は?

現代では、企業の業務に関わる全ての人が何らかの機密情報を扱っており、情報セキュリティ教育の重要性が高まっています。ハードウェアやソフトウェアを整備しても、一人ひとりのセキュリティ意識が低下していれば、外部からの攻撃や人為的ミスによって重大な事故につながり得るためです。 そこで今回は、情報セキュリティ教育の必要性や目的、実施方法について解説します。研修の実施に役立つコンテンツや資料も紹介しますので、ぜひ参考にしてください。 情報セキュリティ教育の基礎知識 サイバー攻撃や情報資産の管理ミスによる情報セキュリティ事故から企業を守るには、セキュリティ意識の強化を目的とした社員教育の実施が重要です。まずは、情報セキュリティ教育の必要性やメリット、目的についてお伝えします。 情報セキュリティ教育の必要性・メリット 従業員に対する情報セキュリティ教育を徹底すれば、情報漏えいを未然に防ぎやすくなります。その理由は、「紛失・置忘れ」「誤操作」「管理ミス」「設定」「盗難」など、ヒューマンエラーによる情報漏えいが全体の6割以上を占めているためです。事故による損害賠償や社会的信用の低下といったリスクの軽減も期待できるでしょう。 【参考】 「2018年情報セキュリティインシデントに関する調査報告書」|日本ネットワークセキュリティ協会 目次に戻る 情報セキュリティ教育の目的・役割 情報セキュリティポリシーを周知徹底する 情報セキュリティポリシーとは、企業や組織における情報セキュリティ対策の方針のことです。主に行動指針や計画・施策、運用体制・規定などを記載します。 組織内の情報セキュリティ意識を向上させるには、従業員全員が策定したポリシーを遵守するための継続的な取り組み・仕組みが必要です。例えば、違反した場合の罰則や組織への被害を示す、理解度をチェックするテストを実施する、個人情報の取り扱いに関するルールを徹底するなどの方法が考えられます。 情報セキュリティの脅威と対策を理解する 情報セキュリティ教育では、整備したポリシーを従業員に遵守してもらうために、実際の事例を伝えることも重要です。例えば、インターネット上の脅威や被害、ウイルス対策や脆弱性対策などの基本的な対策、電子メールやツールの取り扱いにおける心構えなどを解説するのが効果的です。 目次に戻る 情報セキュリティ教育を計画的に進める方法 次は、情報セキュリティ教育の実施方法を手順に沿って解説します。適切なサイクルで情報セキュリティ教育を実施し、自社のリテラシー向上に役立てましょう。 Step1. 教育の目的や学習テーマを設定する 最初に目的を明確化させることで取り組みや効果に一貫性が出やすくなります。社内の情報セキュリティに関する過去の事故や課題を抽出・整理し、目的の設定に役立てましょう。また、社外の事例からは、過去に発生していないが将来起こり得るリスクを想定できます。 情報セキュリティ教育の目的を設定できたら、課題解決に向けて従業員に習得してほしいセキュリティ知識・技能を決定し、それに沿った学習テーマを選定しましょう。学習テーマの例としては、以下のようなものが挙げられます。 情報漏えいのリスク 守秘義務 秘密情報の種類 標的型攻撃メールの脅威と対応策 SNSの利用ルール 情報端末の管理の重要性 クラウドサービスや公衆無線LANの利用におけるセキュリティリスク 最新のサイバー攻撃の手口 パスワード管理 Step2. 教育の対象者を選定する 次に、教育の目的や学習テーマに沿って対象者を選定しましょう。教育内容によっては、部署や役職・役割、オフィスの場所などを参考に対象を決定する場合があります。例えば、営業部の正社員と業務に携わる業務委託先、東京オフィスの正社員などが考えられます。 派遣社員や契約社員、アルバイト・パート、業務委託先など雇用形態を問わず、業務に関わる全ての人を対象者に選定しましょう。 Step3. 教育の実施時期・頻度を決定する 次は、情報セキュリティ教育をスケジュールに組み込むために、実施時期や頻度を決定します。実施時期は新入社員や中途社員の入社時、自社や他社でセキュリティインシデントが発生したとき、社内ルールの変更時などが考えられます。 情報セキュリティに対する従業員の関心が高まっているタイミングで行うのがポイントです。 また、実施の頻度は年に1回、毎月1回、半期・四半期に1回などが挙げられます。内容の重要性や人事異動の頻度などを考慮した上で決定し、定期的に開催しましょう。 Step4. 教育の形態を選定しコンテンツを準備する 次のプロセスでは、情報セキュリティ教育の実施形態を考えます。集合研修やeラーニング、外部セミナーなどが一般的です。教育内容や費用、受講者のリテラシーの程度に応じて適切な方法を選択しましょう。 特におすすめの方法はeラーニングでの実施です。インターネットを活用した学習形態で、学習者はパソコンやタブレットなどでオンライン上のサーバーにアクセスし、必要な講座を受講します。集合研修のように参加者を集める必要がなく、ネット環境さえあれば場所や時間を問わずアクセスできるため、リモートワークを導入している企業でも利用しやすいのが特徴です。 教育の形態が決まったら、コンテンツの準備に取り掛かります。オリジナル教材を作成したり既存コンテンツを購入したりして、求める知識・技能を習得できる教材を用意しましょう。eラーニングの場合は、サービスによっては既存のコンテンツだけでなく、自社で制作した教材を組み合わせて配信することも可能です。 Step5. 教育の効果測定を踏まえたフォローアップを行う 情報セキュリティ教育の実施後は、確認テストやアンケートを通して効果測定を行います。その結果、情報セキュリティの認識に関して問題のある従業員がいた場合は、フィードバックやフォローアップを行いましょう。また、自社で教材を用意しているケースでは、効果測定を踏まえてコンテンツの見直しを行うことも重要です。 目次に戻る 情報セキュリティ教育に活用できるコンテンツ・資料 情報セキュリティ教育を実施する際は、外部のコンテンツや資料を自社に適した形で組み合わせるのが効率的です。こちらでは、情報セキュリティ教育に活用できるコンテンツや資料をご紹介します。 IPA「対策のしおり」 こちらは、経済産業省が管轄するIPA(情報処理推進機構)が一般に公開している資料です。IPAは、国内のIT分野における競争力強化に向けた人材育成などの活動を行っています。 Web会議やテレワーク、長期休暇など目的や場面に応じた具体的なセキュリティ対策が紹介されており、研修資料や配布資料として活用されることもあります。 【参考】 対策のしおり | IPA 独立行政法人 情報処理推進機 総務省「国民のためのサイバーセキュリティサイト」 総務省のWebサイトでは、企業や組織におけるサイバーセキュリティ対策に関するコンテンツを提供しています。幹部や社員、情報管理担当者など役割別にカリキュラムが分かれており、全社的な情報セキュリティ教育の実施にも活用しやすいのが特徴です。 各コンテンツはすべてPDF版をダウンロードできるため、教育の実施後に資料として配布することで知識の定着に役立てられます。また、一部講座は動画も公開されており、専門家の解説を繰り返し視聴できます。 【参考】 国民のためのサイバーセキュリティサイト | 総務省 eラーニングサービスlearningBOX ON 「learningBOX ON」は、eラーニング作成・管理システムである「learningBOX」に企業で必須となる研修コンテンツを簡単に追加することができるサービスです。情報セキュリティ教材のコンテンツを無料でお使いいただけ、オリジナル教材と既存コンテンツを組み合わせて配信していただけるのも魅力です。 目次に戻る 情報セキュリティ教育を進めてサイバーリスクに強い企業を実現しよう 今回は、情報セキュリティ教育の目的や実施方法を解説しました。情報セキュリティ事故による企業イメージの低下や損害賠償などのリスクを低減するには、従業員一人ひとりのセキュリティ意識を向上させる必要があります。情報セキュリティ教育を計画的に実施し、サイバーリスクに強い組織を実現しましょう。 社内で情報セキュリティに関する周知をする際はlearningBOX ONの情報セキュリティ研修コンテンツがおすすめです。コンプライアンス研修のコンテンツなども無料で利用できますので、ぜひ社内研修にご活用ください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る
blog

情報漏えいを防ぐ9つの対策・ポイント、流出の主な原因

ネット社会の到来により情報管理の重要性が説かれているものの、対応の遅れから情報漏えいに至るケースも少なくありません。企業で情報漏えいが発生すると、イメージの低下だけでなく、損害賠償請求など事業の存続に関わる事態となる可能性があります。 上記のようなリスクを低減するためには、事前に対策を講じることが大切です。そこで本記事では、情報漏えい対策のポイントや発生の主な原因について解説します。 情報漏えいの具体的な対策・ポイント 企業は機密性の高い情報を数多く管理しており、一度漏えいしてしまえば、取引先からの信頼低下や多額の損害賠償金の支払いなど影響は計り知れません。そのような事態を防ぐためにも、以下のポイントを参考に情報漏えい対策を講じましょう。 <情報漏えい対策の具体例・ポイント> 対象 対策の具体例・ポイント 従業員 ガイドラインとルールを策定する 定期的な情報セキュリティ教育を実施する 情報や機器の持ち出しや持ち込みを制限・禁止する メールの誤送信防止システムを導入する 情報の安易な放置や廃棄を禁止する 情報の不注意な公言を禁止する 外部者 IDやパスワードなどの情報は厳重に管理する セキュリティソフトを導入・更新する 定期的なシステムのアップデートや脆弱性チェックを行う 従業員向けの情報漏えい対策・ポイント ガイドラインとルールを策定する 人為的なミスを防ぐためには、全社のガイドラインに沿ったルールの作成と運用が必要です。経営陣の示す方針と現場における運用の課題を、双方向からすり合わせます。その際は、IPA(情報処理推進機構)が公表しているガイドラインを参考にすると良いでしょう。 【参考】 「中小企業の情報セキュリティ対策ガイドライン第3版」(独立行政法人情報処理推進機構) 情報セキュリティ教育を定期的に実施する 従業員の情報セキュリティに関する知識や意識を高めるため、情報セキュリティ教育を定期的に実施することも重要です。業務内容によらず、常に情報漏えいのリスクと隣り合わせである自覚を持ってもらうことで、従業員のセキュリティ意識の向上につながります。契約形態に関わらず業務に携わる全員を研修の対象にするほうがリスクを回避しやすいでしょう。 情報や機器の持ち出しや持ち込みを制限・禁止する 紛失や盗難による情報漏えいを予防するためには、情報資産の持ち出しや私物の持ち込みを制限・禁止することが大切です。 また、やむを得ず持ち出しや持ち込みが必要な場合やテレワークを導入する場合に備えて、運用ルールも設ける必要があります。具体的には、責任者の許可を得る、許可を出す情報やデバイスを限定するなどの方法が考えられます。 メールの誤送信防止システムを導入する メールの誤送信や添付ファイルの不備による情報流出を未然に防ぐには、誤送信防止システムの導入が効果的です。上長承認後の自動送信や宛先の自動CC、送信前の再確認などの機能が搭載されており、情報管理体制の強化に役立ちます。 情報の安易な放置や廃棄を禁止する 機密情報の流出を防ぐには、情報の安易な放置や廃棄を禁止する必要があります。誰もがアクセスできる状態で情報が放置されていたり、回収や読み取りが可能な状態で情報が廃棄されたりすると、悪意ある第三者に利用される可能性があるためです。 離席時は書類やパソコンを外部から見える状態にしない、電子媒体やクレジットカードを処分する際は物理的に破壊するなどのルールを設けましょう。 情報の不注意な公言を禁止する 情報の取り扱いや廃棄を適切に行っても、従業員が口外することで情報漏えいにつながる場合があります。具体的にはSNSやブログ、他社従業員との会話の中で、社内で得た情報を漏えいしてしまうケースなどが考えられます。そのため、情報セキュリティに関する社内研修を実施する際は、従業員に守秘義務を徹底するよう指導することが大切です。 目次に戻る 外部者向けの情報漏えい対策・ポイント IDやパスワードなどの情報は厳重に管理する 巧妙化している外部からの攻撃を避けるには、IDやパスワード管理の強化が重要です。名前など推測しやすい文字列を使用しない、使い回しをしない、外部から見える場所で管理しないなどの基本的な対策を徹底しましょう。 セキュリティソフトを導入・更新する サイバー攻撃による個人情報漏えい対策には、セキュリティソフトの導入が効果的です。OSの標準機能では対応が難しい新たな手口にも対処でき、セキュリティインシデントのリスクを低減できます。日々進化する手口やウイルスに対応するためには、定義ファイルの更新を忘れずに行うことも重要です。 システムのアップデートや脆弱性チェックを定期的に行う 外部からの攻撃は、システムやアプリの脆弱性を狙って行われるケースも少なくありません。そのため、外部者による情報漏えいを防ぐには、システムのアップデートや脆弱性チェックを定期的に行う必要があります。 万が一脆弱性が発見された場合は、その危険度や影響を確認した上で、新しいセキュリティツールの導入やシステムの使用停止・改修などで適切に対処しましょう。 目次に戻る 情報漏えいの主な原因と発生要因 情報漏えいの主な原因は、内部職員のヒューマンエラーや意図的な不正、外部からの悪意ある攻撃に分類できます。ここでは、それぞれの具体例や発生要因をお伝えします。 <情報漏えいが発生する原因と発生元・発生要因> 区分 主な原因 発生元 発生要因 内部 人為的ミス ・ 置き忘れや紛失 ・ 不注意な会話やSNS発信 ・ メールやシステムの誤操作 ・ 正社員 ・ 退職者 ・ 業務委託 ・ パート・アルバイト ・ 出入り業者など ・ 不注意 ・ 知識不足 など 意図的 ・ 不正持ち出し ・ 不正操作 ・ 経済的な理由 ・ 組織への不信不満 など 外部 悪意による攻撃 ・ サイバー攻撃 ・ マルウェア感染 ・ 盗聴や盗難 ・ 単独犯/組織犯 ・ 愉快犯 ・ 国内犯/国際犯など 内部の人為的ミスによる情報漏えい 内部の人為的ミスによる情報漏えいは、パソコンや書類、USBメモリなどの記録媒体の置き忘れや紛失、送信先や添付ファイルの誤りなどのメールの誤操作などが主な原因です。 また、公共の場における不注意な会話が原因で情報が流出する場合もあります。例えばオフィスビルのラウンジやエレベーター内、カフェ、居酒屋などの場所で、会話を第三者に聞かれている可能性もあるため注意が必要です。「うちの会社は近々上場する予定で……」「来年の新製品は〇〇の技術が……」といった発言は避けるべきでしょう。 そのほかには、リリース前の秘密情報や顧客の個人情報を投稿するなど、SNSにおける不用意な発信も情報漏えいの原因となり得ます。匿名でも、発信内容から発信者や所属組織の情報を特定されるリスクにも注意が必要です。 内部の意図的な情報漏えい 内部の意図的な情報漏えいでは、退職者によって情報が持ち出されるケースなどが想定されます。経済的な理由や組織に対する不信・不満が原因となる場合があります。 外部からの攻撃による情報漏えい 外部攻撃による情報漏えいの代表的な原因は、不正アクセスやマルウェア感染です。マルウェアとは、端末の不具合や情報漏えいを引き起こす悪質なプログラムやソフトウェアを指します。個人情報や顧客情報の流出、IPアドレスの悪用などの発生を引き起こします。また、オフィスの盗聴や不法侵入による盗難によって情報漏えいが発生するケースにもご注意ください。 目次に戻る 情報漏えいが発生した際の対応方法・手順 万が一情報漏えいが発生した場合は、被害を最小限に抑えるために速やかな対処が求められます。こちらでは、情報漏えいが発生した際の対応方法について、手順ごとに解説します。 Step1. 実態確認と即時報告 まず、情報漏えいの予兆や影響を確認した場合、すぐに責任者に報告しましょう。責任者を中心に対応する体制や、一次対応の方針・内容を定めます。原因究明の手がかりとなる証拠を消さないよう、メールやファイルの削除などの不用意な操作を行わないことが大切です。 Step2. 二次被害を抑える初動対応 次に、情報漏えいの被害拡大、二次被害の防止に向けた応急処置を行いましょう。ネットワークの遮断やサービスの停止などの対応策が検討されます。個人情報漏えいの際は、被害を受けた方に連絡を取り、パスワード変更やサービス利用の停止を依頼することもあります。 Step3. 原因究明と情報公開 次のステップでは、情報漏えいが発生した原因を調査します。5W1Hの視点で情報漏えいに関する事実関係を調査し、証拠の確保に努めましょう。また、対応策が明確になった場合は、同様の被害事例を減らすためにも、企業には速やかに情報を公開することが求められます。 Step4. 関係各所への報告や公表 次は、取引先や消費者、関係省庁への報告や公表の要否を検討します。取引情報や個人情報が漏えいしている場合は、特段の理由がない限り取引先や本人へ通知し、謝罪と二次被害への注意喚起を行うのが基本です。 関係者や被害件数が多岐にわたり、個別の通知が難しい場合は、ホームページや記者会見にて公表するケースもあります。また、金銭の要求や不正アクセスなど犯罪が疑われる場合は、速やかに警察へ届け出ましょう。 Step5. 再発防止策の検討と実施 最後に、情報漏えいの再発防止策を検討して実施します。また、調査報告書をもとに被疑者への損害の補償や、内部職員の処分について検討するのもこちらの段階です。 【参考】 「情報漏えい発生時の対応ポイント集」(独立行政法人情報処理推進機構) 目次に戻る 情報漏えい対策を実施してセキュリティリスクを低減しよう 情報漏えいは、どの企業でも発生し得るリスクです。内部の従業員による不手際や外部からの攻撃などさまざまな原因が考えられるため、漏えいを未然に防止するには、網羅的な対策を講じる必要があります。この機会に情報漏えい対策を実施し、セキュリティリスクの低減に努めましょう。 社内で情報漏えい対策を周知する際は、「learningBOX ON」の情報セキュリティ研修をご利用ください。「learningBOX ON」は、eラーニング作成・管理システムであるlearningBOXに、企業で必須となる研修コンテンツを簡単に追加できるサービスです。自社で内製したコンテンツと組み合わせて、オリジナルの学習コースを簡単に設計することができます。 情報セキュリティ研修やコンプライアンス研修のコンテンツなどを無料で利用できますので、ぜひ社内研修に ご活用ください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る
blog

情報漏えいのリスク一覧|種類別の被害例と原因ごとの対策案

近年、身近に情報漏えいの危険性が潜んでいることが多くの企業で認識されつつあります。サイバー犯罪の手口は年々巧妙化し、どんな企業でも標的にされる可能性があるためです。また、従業員の教育不足などを背景に、社内の人為的なミスから情報漏えいが起こるケースも存在します。 ここでは、こうした情報漏えいが企業にもたらすリスクや、発生を防ぐ対策、発生時の対応フローまで解説します。自社の情報漏えい対策を見直してみましょう。 情報漏えいがもたらすリスク一覧 近年では、情報漏えいのリスクを抑えるためにより強固な対策が必要になっています。従来のセキュリティ対策のみでは対応しきれず、深刻な情報流出が起こってしまった被害事例も少なくありません。その背景として挙げられるのが、新型コロナウイルス感染症拡大によるテレワークの浸透や、業務用スマホやタブレットを含むモバイル端末の普及です。 IPA(情報処理推進機構)の調査によると、2021年から情報セキュリティの脅威に新しく「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインしています。まずは、注意すべきリスクを一覧形式でご紹介します。 【参考】 「情報セキュリティ10大脅威 2021」(独立行政法人情報処理推進機構) <情報漏えいがもたらすリスク一覧> 区分 リスク 実際に発生した事象の例 一次リスク なりすまし・不正利用の被害に遭う ・顧客のクレジットカードの不正利用 ・ 企業のSNSアカウント乗っ取り ・ 企業のなりすましメールの拡散 損害賠償・刑事罰を受ける ・ 加害者に1年以下の懲役または50万円以下の罰金刑 ・ 被害者全員に10,000円の支払い ・ 被害者全員に500円の金券配布 Webサイトを改ざんされる ・ 意図しない広告が表示される ・ 別サイトに自動アクセスされる ・ 閲覧者をマルウェア感染させる 二次リスク 社会的な信用が低下する ・ 重要顧客の取引が中止される ・ 市場シェアが小さくなる ・ SNSでネガティブな評判が拡散される 従業員の不安や不信につながる ・ 退職者が増える ・ 職場の雰囲気が悪くなる なりすまし・不正利用の被害に遭う なりすましとは、インターネット上で第三者が別の人のふりをして不正を働くことです。IDやパスワード、メールアドレスなどの個人情報が悪用される被害につながります。 企業になりすましたメールが拡散されたり、顧客のクレジットカードが不正利用されたり、企業のSNSのアカウントが乗っ取られたりする被害が懸念されます。 損害賠償・刑事罰を受ける 個人情報の漏えいが発覚した場合、国からの措置命令や罰金を受ける可能性があります。2022年4月に施行された個人情報保護法の改正により、措置命令と罰金が強化されました。措置命令に違反した場合、1年以下の懲役または100万円以下の罰金が科せられます。 また、情報漏えいにより民事上の損害賠償責任が発生するケースもあります。情報漏えいは、他人の権利や利益を違法に侵害する不法行為にあたるためです。さらに、損害賠償とは別に、企業が金券や電子マネー、ポイントなどの謝罪金を支払った事例もあります。 【参考】 「令和2年 改正個人情報保護法について」(総務省) Webサイトを改ざんされる 悪意ある第三者がWebサイトの脆弱性を狙って不正アクセスを行い、知らぬ間に内容を改ざんされるリスクがあります。 改ざんにより自社のビジネスとは無関係な広告を表示させるほか、ユーザーを偽サイトへ遷移させたり、マルウェア感染させたりする手口もあるため注意が必要です。 社会的な信用を低下させる 情報漏えいは、取引先や顧客からの信頼を損ない、社会的信用やブランドイメージの低下を招きます。SNSでの風評被害や株価の下落なども懸念されます。 事故をきっかけに、営業活動やサービス運営の停止を避けられない事態となれば、大きな損失に発展する恐れもあるでしょう。 従業員の不安や不信につながる 情報漏えいが社内に与える影響も少なくありません。従業員は企業に対して不安や不信を感じるようになり、業務へのモチベーションが低下しやすくなります。 また、事故後の社外対応で過労となったり、ストレスを溜め込んだりしやすく、退職者の増加につながりかねないのも注意点です。 目次に戻る 情報漏えいの主な原因とリスクを減らす対策例 企業の情報漏えいは、主にどのような原因で発生するのでしょうか。原因別の対策を講じて、社内の情報管理を徹底しましょう。 情報漏えいの主な原因 情報漏えいの原因は、主に「内部の人為的なミスによる漏えい」「内部からの意図的な漏えい」「外部の攻撃による漏えい」の3つに大別できます。情報漏えいを未然に防ぐためには、原因に応じて多方面から施策を実行することが必要です。 <情報漏えいが発生する原因と発生元・発生要因> 区分 主な原因 発生元 発生要因 内部 人為的ミス ・ 置き忘れや紛失 ・ 不注意な会話やSNS発信 ・ メールやシステムの誤操作 ・ 正社員 ・ 退職者 ・ 業務委託 ・ パート・アルバイト ・ 出入り業者など ・ 不注意 ・ 知識不足 など 意図的 ・ 不正持ち出し ・ 不正操作 ・ 経済的な理由 ・ 組織への不信不満 など 外部 悪意による攻撃 ・ サイバー攻撃 ・ マルウェア感染 ・ 盗聴や盗難 ・ 単独犯/組織犯 ・ 愉快犯 ・ 国内犯/国際犯など 【原因別】情報漏えいの対策例 情報漏えいの原因は、「紛失・置き忘れ」「誤操作」「管理ミス」「盗難」など人為的なミスが60%以上を占めています。これは、2018年の日本ネットワークセキュリティ協会による調査結果で公表された数値です。 【参考】 「2018年情報セキュリティインシデントに関する調査報告書」(日本ネットワークセキュリティ協会) この結果からも、従業員のセキュリティ情報に関する知識や意識次第で回避できる情報漏えいは、比較的多いといえるでしょう。定期的な研修の実施やガイドライン・ルールの策定などの施策が有効です。 以下の表では、ヒューマンエラーの原因別に効果的な情報セキュリティ対策をまとめました。ぜひ参考にご覧ください。 <人為的なミスによる情報漏えいの原因と対策例> 原因 対策例 管理ミス ・ 私用パソコンを社内ネットワークにつなげない ・ 紙の書類は必ずシュレッダーで廃棄する ・ 業務用と私用のメールアドレスを使い分ける ・ 業務用パソコンのロックをせずに離席しない 誤操作 ・ メールの誤送信防止システムを導入するメールの誤送信防止システムを導入する ・ 送信データを暗号化する 置き忘れ・紛失盗聴・盗難 ・ 電車の網棚に荷物を置かない ・ 会社の情報を自宅に持ち帰らない ・ USBメモリなど持ち歩ける記録媒体を使用しない ・ SNSで仕事に関する情報を発信しない ・ エレベーターや居酒屋などの公共の場で仕事の話をしない    目次に戻る 情報漏えい発生時にリスクを抑えるための対応フロー もしも自社で情報漏えい事故が発生してしまったら、以下のフローで速やかに対応しましょう。最後に、緊急時に備えて確認すべき対応フローをご紹介します。 Step1. 実態確認と即時報告 情報漏えいの予兆や、発生後の影響を確認した場合、すぐに責任者へ報告します。まずは責任者を中心に、社内体制や一次対応の方針・内容を定めます。その際、原因究明の手掛かりとなる証拠を消さないよう、使用機器の不用意な操作は行わないようご注意ください。例えば、事態に関連するメールやファイルの削除などは行わないようにしましょう。 Step2. 二次被害を抑える初動対応 次に、情報漏えいの被害拡大、二次被害の防止に向けた応急処置を行います。場合によっては、サービスの一時的な停止などの対応策が検討されるケースもあるでしょう。 個人情報漏えいでは、被害を受けた方に連絡を取り、パスワード変更やサービス利用の停止を依頼することも必要です。 Step3. 原因究明と情報公開 事実関係の調査を実施し、情報漏えいが発生した原因を突き止めた上で、正確な情報を公開します。そこで重要なのは、根拠のある確実性の高い情報を公表することです。 曖昧な情報や憶測など、混乱を招くおそれのある情報は発信を避けるようご注意ください。 Step4. 関係各所への報告や公表 企業が情報漏えい事故の説明責任を果たすために、関係各所への報告や公表を行います。取引先や顧客に通知するだけでなく、監督官庁・警察・IPA(情報処理推進機構)などへの届け出も必要です。公表のタイミングは、被害拡大につながるリスクがないか考慮した上で策定しましょう。 Step5. 再発防止策の検討と実施 初動対応が完了し、営業活動やサービスが復旧したら、再発防止策へ取り組みます。情報漏えいの原因から課題を特定し、対策を講じるとともに、被害者への損害賠償や従業員の処分なども行います。 なお、再発防止策の公表内容によっては第三者に脆弱性を知られる恐れがあるため、公表する範囲は十分に検討しましょう。 【参考】 「情報漏えい発生時の対応ポイント集」(独立行政法人情報処理推進機構) 目次に戻る 情報漏えいのリスクに備えるために 情報漏えいのリスクに備えた対策や、被害を最小限に抑えるための対応フローをご紹介しました。情報漏えいの原因の中でも大部分を占めているのは、従業員の人為的なミスによるものです。社内の情報セキュリティ教育の充実化が、リスクの低減につながると考えられています。万が一の事態に備えて、社員教育にも力を入れましょう。 社内で情報セキュリティに関する周知をする際は、「learningBOX ON」の情報セキュリティ研修コンテンツをご活用ください。「learningBOX ON」は、eラーニング作成・管理システムであるlearningBOXに、企業で必須となる研修コンテンツを簡単に追加することができるサービスです。自社で内製したコンテンツと組み合わせて、オリジナルの学習コースを簡単に設計することができます。 情報セキュリティ研修やコンプライアンス研修のコンテンツなどを無料で利用できますので、ぜひ社内研修にご活用ください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る
blog

テレワークでは情報セキュリティ対策が必須!メリットから対策例まで

2020年の新型コロナウイルス感染拡大の影響に伴い、テレワークやリモートワークは珍しくない働き方となりました。現時点ではテレワークを導入していないものの、今後導入するかどうか検討中の企業も多いのではないでしょうか。 企業がテレワークを導入する上では、情報セキュリティの対策が欠かせません。自社のトラブル発生を防ぐためにも、セキュリティ対策についてしっかり押さえましょう。 本記事では、テレワークで情報セキュリティ対策が必要な理由を解説します。また、テレワークを導入するメリット・セキュリティ対策の具体例も紹介するので、テレワークの導入を検討中の場合はぜひ最後までご覧ください。 テレワークにおける情報セキュリティ対策の必要性・想定されるリスク テレワークを導入する企業が増えている一方、多くの企業はセキュリティ確保に課題を感じています。総務省の調査では、アンケートに回答した企業の47.6%が「テレワークの導入にあたってセキュリティの確保が課題となった」と回答しました。 【出典】 総務省「テレワークセキュリティに関する2次実態調査」 テレワークを実施する際、セキュリティ対策を怠るとさまざまなリスクが発生します。自社に損失が発生することを防ぐためにも、想定されるリスクについて把握しましょう。代表的なリスクは4つです。 端末の紛失や盗難 テレワークを実施する際は、ノートパソコンを従業員に貸与するケースも多く見られます。自宅で作業をする場合は端末の紛失・盗難といった心配も少ないですが、コワーキングスペースなどで仕事をするときは、端末の紛失・盗難に注意しなければなりません。 端末に顧客の個人情報などが保存されている場合、紛失や盗難が発生すると大きなトラブルにつながります。 情報漏えい 自宅やコワーキングスペースなどで作業をする際、オフィスとは異なるインターネット回線を使用することになります。セキュリティの強度は回線によって異なるので、セキュリティレベルが弱いインターネット回線を使用すると、情報漏えいにつながる危険性があります。 マルウェアへの感染 オフィスに用意されている端末は、基本的にウイルス対策ソフトを導入していることが多いでしょう。しかし、従業員が個人で使用する端末の場合、ウイルス対策ソフトを導入していないことは珍しくありません。その結果、悪意あるウイルスなどのマルウェアに感染するリスクが高まります。 通信傍受や盗聴 カフェなどで公共のWi-Fiを利用する際は、特に注意が必要です。フリーWi-Fiは誰でも利用できる分、通信を傍受される恐れがあります。場合によっては盗聴される可能性もあるので、フリーWi-Fiの利用には細心の注意が必要と言えるでしょう。 目次に戻る 情報セキュリティ対策を実施すればテレワークにはメリットも! テレワークにはセキュリティ面でリスクがあるものの、従業員・企業の両方にメリットもあります。具体的なメリットを以下に挙げます。 通勤時間の削減 従業員にとって、通勤時間はストレスに感じることの1つです。特に、満員電車に乗ることは大きなストレスとなるでしょう。もしテレワークを導入できれば、従業員は通勤する必要がなくなり、空いた時間を有意義に使えます。また、業務効率の改善も期待できるでしょう。 従業員の離職防止 どこでも働ける環境を整備できれば、地方にいる人材を採用できるなど、採用できる人材の幅が広がります。また、子育てや介護といった理由で通勤が難しくなり、従業員が離職するケースもあります。そのような従業員でも、テレワークで働いてもらうことができれば、従業員の離職を防ぐことが可能です。 他にも、オフィススペースや交通費の削減によるコストカットなどがメリットとしてあります。 目次に戻る テレワークにおける情報セキュリティ対策例 テレワークを実施するときは、企業側が対策を施すことが欠かせません。具体的な対策を7つ紹介します。 セキュリティガイドラインの策定 企業として従業員に何を意識してほしいのか、セキュリティガイドラインを策定する方法があります。業務に取り組む上で従業員が意識するべきこと(基本方針)を明文化し、従業員に周知することが重要です。 なお、セキュリティガイドラインは一度策定したら終わりではなく、時代に応じて内容をアップデートしましょう。 セキュリティソフトの導入 ガイドラインによる明文化も効果的である一方、セキュリティ対策の効果が期待できるソフトを導入することも1つの方法です。端末がウイルスに感染すると、企業に大きな損失を招きかねません。最悪の事態を防ぐためにも、業務で使用する端末にはセキュリティソフトを導入しましょう。 パスワード管理の徹底 業務中に入力するパスワードは、推測されにくいパスワードを設定することが大切です。誕生日や名前、連続した数字といったパスワードは推測されやすく、不正アクセスの発生につながる場合があります。そのため、アルファベットや記号を交えた強度の高いパスワード設定がおすすめです。 ペーパーレスの推進 紙の資料は持ち運びがしやすい反面、盗難や紛失のリスクが高いというデメリットもあります。もし外出先で紙の資料を盗難されたり紛失したりすると、取り返しのつかない事態につながることもあるでしょう。紙の資料のデメリットをなくすためには、ペーパーレス化を進めることがポイントです。 個人情報の暗号化 個人情報の取り扱いが多くなる場合は、データそのものを暗号化しておきましょう。クラウドのアプリを利用する企業では、従業員がアプリ越しで個人情報にアクセスすることも考えられます。あらかじめ暗号化しておけば、不正アクセスに備えることもできます。 定期的なOSまたはアプリのアップデート OSやアプリは日々アップデートプログラムが提供されるので、なるべく早い段階でアップデートを実施しましょう。アップデートプログラムは、脆弱性の改善といった内容が含まれていることがあります。アップデートしないままではセキュリティリスクの高い状態が維持されてしまうので、早めの対処が欠かせません。 セキュリティ教育の実施 さまざまなセキュリティ対策がある中でも、セキュリティ対策の必要性を理解してもらうためには、セキュリティ教育の実施がおすすめです。セキュリティ教育のカリキュラムは、セキュリティリテラシーの低い人に合わせた内容に設定することが多いでしょう。情報セキュリティ事故の事例など、時間をかけて従業員に伝えた上で、セキュリティ対策の重要性を認識させ、組織全体のセキュリティリテラシーの底上げを目指しましょう。 目次に戻る まとめ 今回は、テレワークで情報セキュリティ対策が必須の理由に加えて、対策の例も紹介しました。 テレワークではセキュリティ面に関するさまざまなリスクがありますが、メリットも多くあります。多様な働き方を推進し、働きやすい環境を整えるためには、テレワークの導入を検討してみましょう。 社内で情報セキュリティに関する周知をする際は「learningBOX ON」の情報セキュリティ研修コンテンツをご活用ください。learningBOX ONは、eラーニング作成・管理システムであるlearningBOXに、企業で必須となる研修コンテンツを簡単に追加することができるサービスです。自社で内製したコンテンツと組み合わせて、オリジナルの学習コースを簡単に設計することができます。 情報セキュリティ研修やコンプライアンス研修のコンテンツなどを無料で利用できますので、ぜひ社内研修にご活用ください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る
blog

秘密情報と機密情報の違いは?定義や種類と具体例、類語の意味

企業活動では、自社の顧客や取引先などに関する幅広い情報を取り扱います。業務で使用するデータや書類の中には、秘密情報や機密情報を含むものも少なくありません。機密性の高い情報は、社外へ流出すると重大な事故にもつながりかねないため、取り扱いに注意が必要です。 本記事では、そのような「秘密情報」や「機密情報」について解説します。両者の違いや情報漏えい対策についても解説しますので、ぜひ参考にしてみてください。 秘密情報と機密情報の違い ビジネスシーンでは「秘密情報」と「機密情報」という2つの言葉が同じ意味で使われることがあります。どちらも明確な定義がなく混同されやすい言葉ですが、厳密には意味が異なります。初めに、秘密情報と機密情報の違いを解説します。 秘密情報と機密情報の意味 秘密情報とは、秘密保持契約(NDA)を結ぶ際に秘密保持の対象となる情報のことです。どの情報が秘密情報に該当するかは、契約を結ぶ当事者間で取り決めが行われます。また、秘密情報の範囲は締結した契約書の内容によって異なります。 一方で機密情報とは、企業や国の機関にとって重大な情報全般のことです。なかでも企業における機密情報は「企業秘密」や「企業内秘密」とも呼ばれ、取り扱いに注意が必要です。秘密情報と同様に、外部への流出を避けなければなりません。 秘密情報・機密情報の種類と具体例 秘密情報と機密情報は意味が異なるものの、対象となり得る情報は同じです。 対象となり得る情報は、「経営情報」「財務・経理情報」「研究開発・技術情報」「人事情報」「マーケティング・広報情報」の5種類に大別できます。 <秘密情報・機密情報の種類と具体例> 情報の種類  該当する情報の具体例 経営情報  事業計画、在庫情報、M&A情報など 財務・経理情報  予算・売上情報、融資情報、合弁計画など 研究開発・技術情報  設計図、研究報告書、プロジェクト仕様書など 人事情報  給与情報、昇進情報、異動情報など マーケティング・広報情報  販売履歴、販促情報、顧客情報、取引先情報など    代表例として、顧客や従業員に関する個人情報は秘密情報や機密情報に含まれると考えられます。一般的に個人情報に該当するのは、氏名・年齢・住所・性別といったデータのほか、本人の購入履歴やサイトの閲覧履歴などのデータです。 秘密情報・機密情報と似た意味を持つ類語 秘密情報・機密情報と営業秘密の違い 秘密情報と機密情報には明確な定義が存在しないのに対して、「営業秘密」は法律上で定義されています。説明が記載されているのは、不正競争防止法の2条第6項です。 この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。 【出典】 「不正競争防止法(平成五年法律第四十七号)」e-Gov法令検索 不正競争防止法で定義された営業秘密には、3つの要件があります。1つ目は、“秘密として管理されている”の部分に該当する「秘密管理性」。2つ目は、“有用な営業上又は技術上の情報である”の部分に該当する「有用性」。3つ目は、“公然と知られていない”の部分に該当する「非公知性」です。 ただし、脱税などの反社会的な活動についての情報、特許として公開された情報、刊行物などに記載された情報は、営業秘密には該当しません。 【参考】 「秘密情報の保護ハンドブック ~企業価値向上に向けて~」(経済産業省) 秘密情報・機密情報と社外秘情報の違い 社外秘情報とは、社外への流出によって損失が生じる可能性のある機密情報です。社内の人とは情報を共有できますが、取引先や消費者など外部の人には共有できません。具体例として、議事録や就業規則といった機密文書が挙げられます。 機密情報には重要度に応じてレベルがあり、機密性の高い順に「極秘」「秘」「社外秘」と分類されます。「極秘」や「秘」に該当する特定の情報は、社外秘よりも流出による損失が大きいと考えられており、社内でも限定された一部の人しかアクセスできません。 社外秘情報は秘密情報とは異なり、秘密保持契約を締結しません。また、社外秘情報は社内で共有できますが、機密情報は重要度次第では社内でも共有できない場合があります。 秘密情報・機密情報と機微情報の違い 機微情報は「センシティブ情報」とも呼ばれ、個人情報の中でも慎重な取り扱いが求められるものを指します。情報の流出によって、個人が差別などの社会的なリスクにさらされたり、精神的なダメージを受けたりする恐れがあります。 機微情報の具体例として挙げられるのは、個人の政治的な見解に関する情報、信仰する宗教に関する情報、人種や民族に関する情報、出生地や本籍地に関する情報などです。情報の取り扱いに注意し、個人のプライバシーを守る必要があります。 機微情報は秘密情報とは異なり、秘密保持契約を締結しません。また、機密情報は企業や国の機関などの情報が対象となるのに対して、機微情報は個人の情報が対象となります。 目次に戻る 秘密情報・機密情報を漏えいするリスク 秘密情報・機密情報が流出してしまったら、企業にはどのような危険が及ぶのでしょうか。情報漏えい事故がもたらすリスクについて解説します。 社会からの信用や信頼を失う恐れがある 情報漏えいの発覚・拡散は、顧客や取引先、社会からの信用を下げかねない大きな問題です。違反や事故をきっかけに、第三者のSNSでの発言などで情報の歪曲やデマが生まれれば、自社が風評被害を受ける懸念もあります。こうして社会からの信用や信頼を失えば、企業存続に関わる重大な危機にもなり得るでしょう。 損害賠償を請求される場合がある 万が一、自社の情報漏えい事故で被害者に何らかの損失が発生してしまったら、損害賠償を請求される場合があります。国内でも、過去に大規模な個人情報漏えい事故が発生し、企業が顧客へ損害賠償を行った事例が存在します。 機密性の高い情報ほど、漏えいによる被害が深刻になる可能性があるため、注意が必要です。 目次に戻る 秘密情報・機密情報の漏えいを予防する方法 情報漏えい事故を予防するには、日頃から社内ルールを厳守し、セキュアなIT環境を保つことが大切です。最後に、秘密情報・機密情報の漏えいを防ぐポイントをお伝えします。 記録媒体の持ち込みと持ち出しを制限・防止する 社内では、秘密情報・機密情報を保存できる媒体の持ち込みおよび使用を、原則禁止としましょう。例えば、USBメモリや外付けハードディスクを使ったデータの持ち運びには、紛失や盗難のリスクが伴います。同様に、従業員が個人的に保有する媒体を業務で使うのも好ましくありません。 また、社用パソコンの持ち出しや利用場所に制限するルールを規定し、明示することも大切です。持ち出しの際は事前申請を従業員に義務付けるなど、情報資産を安全に保つために新たな管理方法を導入しても良いでしょう。 テレワークの普及によって、こうしたルールをより厳格に取り決める必要性が高まっています。 セキュリティソフトを導入・更新する 社用パソコンなどの端末にはセキュリティソフトを導入し、ウイルスや不正アクセスによる被害から自社のIT機器やネットワークを守りましょう。すでにセキュリティソフトがダウンロードされた端末も、定期的な更新に対応する必要があります。 アップデートでソフトを最新の状態に保ち、新たなサイバー犯罪の手口に備えましょう。 従業員の情報セキュリティ意識を向上させる 自社の秘密情報・機密情報を安全に保管するには、一人ひとりが情報セキュリティの基礎知識を把握し、社内の情報を適切に取り扱うことが重要です。情報セキュリティの体系的な学習には、研修の実施もご検討ください。 その際は、学習管理の機能も兼ね備えたeラーニングシステムを活用するなど、従業員の習熟度チェックもできるようにしましょう。 目次に戻る 秘密情報・機密情報の違いを押さえて双方に対策を 企業が取り扱う秘密情報と機密情報の違いについて解説しました。秘密情報と機密情報には異なる意味合いがありますが、対象とする情報の種類は共通しています。お伝えした注意点をもとに、社内のセキュリティ対策を強化し、安全な運用を目指しましょう。 社内で情報セキュリティに関する周知をする際は「learningBOX ON」の情報セキュリティ研修コンテンツをご活用ください。learningBOX ONは、eラーニング作成・管理システムであるlearningBOXに、企業で必須となる研修コンテンツを簡単に追加することができるサービスです。自社で内製したコンテンツと組み合わせて、オリジナルの学習コースを簡単に設計することができます。 情報セキュリティ研修やコンプライアンス研修のコンテンツなどを無料で利用できますので、ぜひ社内研修にご活用ください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る
blog

企業が行うセキュリティ対策とは?方法やポイントを紹介

情報システムやインターネットを使ったデータ管理は今や企業にとって欠かせない手段です。その利便性に疑いの余地はありませんが、そこにはもうひとつの側面があることを改めて意識しましょう。 インターネットを使ったデータ管理は世界中とつながるため、常に外部から攻撃を受ける可能性があります。不正アクセスによる情報漏えいは企業のブランドイメージを失墜させ大きなダメージを与えるため、堅牢(けんろう)なセキュリティ対策は企業にとって大きな課題です。 今回は企業が行うセキュリティ対策の方法やポイントをご紹介します。今一度、あなたの会社のセキュリティ対策を確認しましょう。 セキュリティ対策とは そもそもセキュリティ対策とは、インターネットやコンピュータを安全に使うための対策のことで「情報セキュリティ」とも呼ばれます。IT化が進んだ現代では、企業や組織は重要な営業機密や、顧客・社員の個人情報など、多くの情報をシステム上で保管しています。 これらの情報が漏えいしたり、データが破損したりすると企業は社会的に大きなダメージを受け、場合によっては業績の低下や倒産の可能性すらあります。企業は情報資源を守るために、さまざまなセキュリティ対策を行うのです。 目次に戻る 情報セキュリティの3要素 情報漏えいやデータ破損を防ぐための対策である情報セキュリティは、「機密性(confidentiality)」、「完全性(integrity)」、「可用性(availability)」という3つの要素から構成されています。情報セキュリティはこれらの要素の頭文字を取って「CIA」と呼ばれることもあります。それぞれの要素をもう少し詳しく確認しましょう。 機密性:認められた人だけが情報にアクセスできること完全性:情報が正確であり改ざんや過不足がないこと可用性:必要なときに必要な情報に目的を果たすまでアクセスできること 重要な情報を取り扱う際にはこの3要素をしっかり意識することが大切です。 目次に戻る 情報セキュリティとサイバーセキュリティの違い セキュリティ対策には情報セキュリティの他にもサイバーセキュリティと呼ばれるものがあります。サイバーセキュリティとは情報セキュリティを脅かすものに対しての対処方法です。情報セキュリティが情報の取り扱い方に観点を置いているのに対し、サイバーセキュリティはいわゆるサイバー攻撃などへの対策などに焦点が当てられています。 この2つは全く異なるものではなく、情報セキュリティの中にサイバーセキュリティの概念があるイメージです。 では、実際にどのような事例が情報セキュリティを脅かすのか、次でしっかり確認しましょう。 目次に戻る 具体的なセキュリティ被害の事例を紹介 実際のセキュリティ被害の事例を4つご紹介します。 具体例①マルウェア感染 マルウェアとは、ユーザーのデバイスに不利益をもたらすプログラムやソフトウェアの総称です。ランサムウェアやトロイの木馬などもマルウェアの一種です。マルウェアに感染すると、重要な情報が外部流出したりデータが破壊・書き換えされたり、消失したりします。 具体例②情報漏えい、盗難 情報漏えいはマルウェア感染だけでなく、テレワークなどの業務環境の変化により意図せず起こるものもあります。また、機密情報の入ったパソコンやデータを社員個人が持ち出し、盗難に遭うなどのケースもあります。 具体例③不正アクセス 不正アクセスされると機密情報の流出やサービスの停止、Webサイトの改ざんなどの被害を受ける可能性があります。 具体例④災害などによる機器障害 台風や地震、落雷などの自然災害が発生し、サーバーや電気が使えなくなり、情報システムが停止してしまうことがあります。 目次に戻る 企業が行うセキュリティ対策方法 では、実際に企業が行うセキュリティ対策にはどのようなものがあるのでしょうか。それぞれ具体的な事例への対策を確認しましょう。 対策①マルウェア感染への対策 マルウェア感染を防ぐにはセキュリティソフトの活用が有効です。ただインストールするだけで安心せず、定期的に更新し最新版にアップデートするようにしてください。 マルウェアは常に新たなものが作成され、より巧妙化していくため、古いウィルス定義ファイルのままでは危険です。 対策②情報漏えい、盗難への対策 セキュリティソフトの活用とともに、研修などで社員のセキュリティへの意識を高めることが大切です。書類やPCなどの持ち出しに対しルールを設定し、社員の情報の取り扱いに一定の制限を設けます。 対策③不正アクセスへの対策 不正アクセスの原因はシステムの脆弱性です。不正アクセスを防ぐため、アカウントの適切な管理や、暗号化技術の導入を行いましょう。また、不正アクセスを遮断するファイアーウォールの導入も有効な手段です。 対策④災害などによる機器障害への対策 自然災害は予期できるものではありません。日頃から小まめなバックアップや予備システムの配備などの対策が必要です。 データのバックアップは別の場所で保管します。また、重要書類は災害から保護するため金庫などに保管します。 目次に戻る 中小企業がまず取り組むべき情報セキュリティ対策とは 情報セキュリティ対策は大企業だけのものではありません。中小企業もしっかりとしたセキュリティ対策が求められます。しかし、大企業のようにさまざまな情報セキュリティ対策を行うことは、予算・人材が不足しがちな中小企業では現実的ではありません。 では、どこから対策を始めれば良いのでしょうか。限られた予算でも実施可能な、優先度の高いものを以下に3点紹介します。 ①パソコンのセキュリティを強化する OSなどのソフトウェアはこまめにアップデートし、最新の状態を保ちましょう。またセキュリティソフトの導入をおすすめします。法人向けのセキュリティソフトであれば、社内の端末の一括管理ができます。 業務に関係のないWebサイトの閲覧を制限したり、外部ストレージとの接続を制限したりと、社内のPCのセキュリティ性を高めることができるためおすすめです。 ②従業員への教育の徹底 セキュリティ対策はすべての社員が守らなければ意味がありません。情報セキュリティを実現させるには、社員一人ひとりの意識向上が不可欠です。社員にセキュリティ知識をしっかり浸透させるには、研修が有効です。 電子メールの誤送信対策や安易なパスワード設定、不審なURLはクリックしない、SNSの利用方法など、社員への教育を徹底し情報漏えいを防ぎましょう。 ③テレワークへの対策 近年一気に普及したテレワークですが、オフィス以外での労働には情報漏えいやウイルス感染などのリスクが伴います。まずはテレワーク時のデータの取り扱いや持ち出しに関して社内ルールを定めましょう。 テレワーク時に使う端末にはウイルス対策ソフトの使用はもちろんのことネットワークへのアクセスは安全な回線の使用を徹底してください。 公衆Wi-Fiなどの使用はウイルス感染や情報漏えいの危険があるということを周知しましょう。 目次に戻る まとめ IT化が進んだ現代では、どんな企業にとっても情報システムやインターネットは必要不可欠な存在です。これらには大きな利便性がある一方、情報漏えいなどのリスクがあることに注意しましょう。システムに不具合が生じ、サービスが停止すると会社のイメージは失墜し、業績にもかかわる可能性があるため、しっかりとした強固な対策が必要です。 情報セキュリティは、不正アクセス対策や、マルウェア対策、自然災害の際の対策などと多岐にわたりますが、まず、取り掛かるべきなのは社員教育の徹底です。社員の情報セキュリティへの意識を高め、会社の情報を守りましょう。 社内で情報セキュリティに関する周知をする際は「learningBOX ON」の情報セキュリティ研修コンテンツをご活用ください。learningBOX ONは、eラーニング作成・管理システムであるlearningBOXに、企業で必須となる研修コンテンツを簡単に追加することができるサービスです。自社で内製したコンテンツと組み合わせて、オリジナルの学習コースを簡単に設計することができます。 情報セキュリティ研修やコンプライアンス研修のコンテンツなどを無料で利用できますので、ぜひ社内研修にご活用ください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る
learningBOXをもっと知りたい方へ