企業で発生する情報セキュリティ事故は、マルウェアなどの外部要因だけで発生するとは限りません。
中には、従業員の行動が原因のものもあります。
ここからは、従業員が原因の情報セキュリティ事故におけるパターンや、それらを防ぐための対策などについて解説します。
従業員のSNS投稿について
企業の従業員におけるSNS投稿によって、企業の情報セキュリティ事故が発生するケースは多いです。
こちらは投稿した従業員の過失によるものが多く、短い期間で拡散されます。
従業員本人が情報を漏えいさせた例としては、ホテルで有名人が宿泊している情報をSNSに投稿した、来院したスポーツ選手の健診結果を投稿したといったケースがあります。
また、中には従業員の家族から情報が漏えいした事例もあります。
例えば、菓子メーカーに勤務する父から聞いた、新商品情報と起用タレントについて、娘がSNSに投稿したといった事例です。
いずれも企業が情報を漏えいさせたことには変わりないため、公式に謝罪文などをホームページに掲載するなど、対応をしなければいけなくなってしまいます。
このような事態を回避するために、企業は従業員に対し、SNSに関する定期的なセミナーを開いたり、情報セキュリティ事故が発生したときの損失について明確に伝えたりする必要があります。
eラーニングの効果について
eラーニングは、主にインターネットを利用した学習形態であり、会場費や交通費などのコストを抑えられること、研修担当者の業務負担を軽減できることなどから、情報セキュリティ対策として採用している企業も増加しています。
しかし、従業員に対する情報セキュリティ教育は、eラーニングだけでは不十分だと言えます。
確かに、eラーニングも一定の効果はありますが、こちらに対し多くの従業員は、「企業として形式的にやれば良いと思っている」と判断しがちです。
つまり、学んだ内容についても、「形式的に守れば良い」と解釈しがちだということです。
このように、情報セキュリティに対する従業員の意識が低いと、そのうちeラーニングで学んだ対策すらおろそかになってしまう可能性があるため、注意してください。
特に、機微な個人情報を扱う企業や、プライバシーマーク、JAPHICマークなどを取得する企業は、社内研修などで直接会話する機会を設けましょう。
ルールを守りやすいための環境づくりについて
従業員が原因の情報セキュリティ事故を減らすために、企業はさまざまなマニュアルやルールを設けます。
しかし、それだけで情報セキュリティ事故が減少するとは限りません。
従業員にルールを守ろうとする意思があったとしても、その通りに業務を行えない環境では、ルールがうまく機能しないからです。
例えば、こなすべき業務が多すぎる場合、従業員は自宅に業務を持ち帰ったり、効率化をはかったりするために、企業の機密情報が入ったパソコン、リムーバブルディスクなどを社外に持ち出すかもしれません。
このようなケースにおいて、企業は従業員がルール通りに業務を進められるかどうか検証し、定められたルールを守りやすい環境を整備するか、もしくはルールそのものを見直す必要があります。
IT環境の整備について
企業の規模や業種などによって、所有している機密情報はそれぞれ異なります。
また、保管する媒体にも企業ごとに違いがあり、ほとんどを紙媒体で保管しているところもあれば、デジタルデータが大半を占めている企業もあります。
デジタルデータを多く所有し、活用している企業は、従業員が原因の情報セキュリティ事故を防ぐために、IT環境の整備が必要不可欠です。
例えば、データを編集することにより、自動的に編集内容が複数のファイルに反映されるようなシステムを使用すれば、転記などの作業が不要になり、情報セキュリティ事故を減らすことができます。
また、IT環境さえ整っていれば、ファイルサーバからデータの持ち出し、ローカルPCへの保存はできない設定にすることも可能です。
情報セキュリティ事故発生時の罰則について
企業の従業員が情報セキュリティ事故を発生させ、情報が漏えいした場合、その漏えいによって損害を被る利害関係者が存在するのであれば、損害賠償を請求されるおそれがあります。
また、漏えいした情報に個人情報が含まれている場合には、個人情報保護法に基づき、6ヶ月以下の懲役または30万円以下の罰金の刑事罰に処されることがあります。
その他、漏えいの対象となった個人への賠償や、上場企業であれば株主代表訴訟似応じる必要もあります。
もちろん、漏えいにおける被害の大きさによっては、営業停止になることも十分にあり得ます。
まとめ
ここまで、従業員が原因の情報セキュリティ事故を防ぐための方法を中心に解説しましたが、いかがでしたでしょうか?
個人情報保護に対する従業員の意識を高くしたい企業は、“JAPHICマーク”の取得を目指しましょう。
こちらのマークを取得することによりで、必然的に個人情報保護に関する知識は身に付きますし、取引先企業や顧客からの信頼度も高くなります。
