個人情報漏洩ニュースがたびたびマスコミなどに取り上げられるようになり、情報を扱ううえで欠かせないリスク管理に不安を抱いていないでしょうか。企業として留意すべき個人情報の取り扱い方やリスク、その漏洩防止策について紹介します。
目次
今回のケース
以前より、個人情報の管理に不安がある。会社にとってリスクがあると考えており、必要なことに取り組みたい。
【まとめページ】
サイバー攻撃の脅威から企業の資産を守る!
経営者必読のセキュリティ関連資料12選
▼本ページに掲載されているお役立ち資料▼
-
情報セキュリティ(知識編)
-
情報セキュリティ(実践編)
-
UTM
( 1 ) 取引企業を踏み台にするサプライチェーン攻撃
企業における個人情報保護の義務
テレビなどで流れる個人情報漏洩のニュースは、いわゆる大企業での流出が目につきます。それは個人情報保護法で「5,000件以上の個人情報を保有し、事業に利用している企業」を対象に、情報の保護を義務付けており、大企業で個人情報漏洩が発覚した場合、記者会見を実施してそれをマスコミが取り上げるからです。一方、中小企業には個人情報保護の義務はないのでしょうか。たとえ扱う個人情報の「数」が少なくても、その「重さ」は同等です。もし、漏洩したことを把握しながら、該当する顧客に対して公表しなければ、流出した個人情報が犯罪に悪用されない限り、顧客は漏洩の事実を知りえないばかりか、犯罪を未然に防ぐこともできません。中小企業といえども、保有する個人情報の数にかかわらず、しっかりと保護をすることが重要です。
個人情報漏洩による企業のリスク
個人情報漏洩による企業のリスクとしては、以下が考えられます。
- 原因の調査・対応によるコストの増加
- 民事・刑事上の責任
- 社会的信用の失墜
- 企業イメージの低下
企業の場合は被害者というだけではなく、ユーザーの情報を漏洩した加害者としても取り上げられます。なぜ情報漏洩が起こったのか、調査し対策を講じる人的なコストはもちろん、個人情報漏洩はプライバシー権侵害にあたり、損害賠償責任も発生するため、被害者から損害賠償を請求されるケースもあります。また、個人情報保護法の安全管理義務違反、第三者提供違反などに該当した場合は「6か月以下の懲役または30万円以下の罰金」という刑事罰が科せられます。情報漏洩によって失ってしまう取引先や顧客からの信頼、イメージの低下は何よりも大きな損失となります。
( 2 ) 企業が保有する個人情報を把握していますか?
企業が保有している個人情報とはどのようなものでしょうか。個人情報として挙げられるのは、「名前」「生年月日」「住所」「血液型」「性別」「職業」「電話番号」「収入」「生体情報」「クレジットカード番号・暗証番号」「金融機関情報・暗証番号」「氏名と社名が含まれるメールアドレス」「マイナンバー」など特定の個人を識別できるものです。デジタルデータ以外にも、書類など紙で管理されているものも少なくありません。具体的な例を挙げてみましょう。
- 個人顧客台帳
- 名刺
- 得意先担当者の個人連絡先
- 自社の社員住所録
- 入社希望者の履歴書
さらに、下記の情報も個人情報に該当します。
- 社員の携帯電話に登録されている顧客の連絡先
- 社員の手帳に書かれた顧客の連絡先
- 受信したメールやFAXに記載された送信者の連絡先・署名
- 顧客の氏名・連絡先が記載された郵便物や宅配便の配送伝票
- 社員の自宅連絡先などが記入された届出書や申請書類
業種や業態によって把握・管理すべき個人情報はさまざまです。社内のどこに、どのような個人情報があり、どういった管理がなされているかを把握し、企業として個人情報保護に努める必要があります。
( 3 ) 企業における個人情報漏洩防止策
個人情報流出に対する社員の意識付けおよび教育の実施
情報漏洩の原因として多いのが、関係者による持ち出しや携帯端末の紛失、作業ミス・誤操作などです。企業側は、社員に対する個人情報保護の意識付けを徹底し、定期的な社員教育などの対策が必要です。また、守秘義務について書面を取り交わすことも効果的です。
メールの誤送信や暗号化忘れの防止
メールの誤送信は個人情報に限らず、情報漏洩の要因の一つに挙げられます。送信前の確認はもちろん、セキュリティツールによって、誤送信や添付ファイルの暗号化忘れ、宛先のCcとBccの設定間違いなどを防止することができます。
不正アクセスの防止
社内ネットワークへの不正アクセスなどによる個人情報の漏洩は後を絶ちません。許可されていない端末からのアクセスを遮断するツールを導入することで情報漏洩を防止するほか、社内インターネットのプライベート利用などもブロックします。
( 4 ) 保有する個人情報を守るためのセキュリティツール
情報漏洩の防止と業務効率の向上を実現するツールについて、ここからはサクサの製品による具体的な例をご紹介します。サクサでは、多彩な機能で情報漏洩を防止する情報セキュリティゲートウェイ機器「GE1000/GE1000Pro」で、最適なソリューションをご提案しています。
メールセキュリティ機能によるリスク回避
メールが原因となる情報漏洩の事例は多く、ケアレスミスから意図的なものまでさまざまです。これらを回避することで、大幅なリスク軽減が可能になります。
- メール誤送信防止
メールを一旦保留状態にすることにより、宛先や添付ファイルを間違えた際に送信をキャンセルできます。
- 送信メールフィルタリング
個人情報に関連する特定のワードをブロックし、「なりすまし」などの巧妙な悪質メールからの情報漏洩を防ぎます。
- メール添付ファイル自動暗号化
添付ファイルを自動で暗号化するため、面倒なパスワードの設定の手間が省けます。煩雑な業務フローの軽減とセキュリティ対策が両立できます。
さらに、「GE1000Pro」には、あて先Bcc変換機能やメールアーカイブ機能も搭載。メールマガジンなど不特定多数にメール送信する際にToやCcを自動的にBccに変換し、情報漏洩を防ぎます。またアーカイブ機能によって送受信メールを保存し、一括管理することで情報漏洩を防止。さらに休暇中の社員のメール引き継ぎも行えるため、業務の効率化が図れます。
未許可のPCやスマートフォンをブロック
未許可のパソコンやタブレット、スマートフォンなどからの社内ネットワーク接続を感知し、自動的に遮断します。不正アクセスや社内インターネットのプライベート利用を未然に防ぎ、情報漏洩のリスクから社内ネットワークを守ることができます。
また、UTMと連携することで、ウイルス感染したPCからの通信を遮断し、被害の拡散を未然に防ぐことが可能です。
( 5 ) まとめ
保有する個人情報の保護は、企業として行うべき最低限の責任です。その管理方法については、社員の意識付けをはじめ、ルールの明確化、コンプライアンス、ネットワークセキュリティの強化と厳格にしておく必要があります。
サクサは、最適なセキュリティシステムの提案を通してサポートをさせていただきます。ぜひ、お気軽にご相談ください。
【まとめページ】
サイバー攻撃の脅威から企業の資産を守る!
経営者必読のセキュリティ関連資料12選
▼本ページに掲載されているお役立ち資料▼
-
情報セキュリティ(知識編)
-
情報セキュリティ(実践編)
-
UTM
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。
