コロナで在宅ワークが増えてきている会社は多いでしょう。コロナ対策として仕方のないことではありますが、情報漏洩や情報漏洩のリスクは高まる一方です。
会社にいれば全社員を管理することもできるかもしれませんが、それぞれが家で在宅ワークをしているとなると、これまでの対策だけでは情報漏洩を防ぐことも難しくなってくるでしょう。
そこで今回は、情報漏洩が起きる原因や、情報漏洩が起きた時に会社が背負うリスク、そして情報漏洩が起きないための予防策と万が一起きた時の対処法について詳しく解説していきます。
情報漏洩が起きてしまう原因
会社経営者としては最も避けたいトラブルの一つである情報漏洩。情報漏洩はどのようなことが原因で起きてしまうのでしょうか。 日本ネットワークセキュリティ協会の調査によると、最も多い原因が従業員による紛失や置き忘れ、次いで誤操作、3番目が不正アクセスとなっていて、これらの原因が全体の70%以上を占めています。
紛失や置き忘れ
情報漏洩のイメージは、ハッキングや不正アクセスを一番に思い浮かべるかもしれませんが、実際には従業員がパソコンやスマホを紛失したり、重大なデータを置き忘れたりという人的な要因が大きいです。
また、コロナウイルスの影響で会社以外の場所で仕事をする人も増えているため、たとえば、カフェやワーキングスペースで仕事をしてそのまま置き忘れたり、移動時に無くしたり、社外のパソコンにデバイスを接続したまま忘れてしまったりということも考えられます。
誤操作
メールの誤送信やCC、BCCの不適切な利用によって情報が洩れることも多いです。 社内のプロジェクトメンバーに重大な情報が載っているメールを送信する際に、名前が似ている人のアドレスに送ってしまったり、添付するファイルを間違って送ってしまったりすることでの情報漏洩がありえます。
不正アクセス
不正アクセスとは、アクセス権限を持っていない人がコンピューターに不正に侵入し、システムを乗っ取る行為です。スパムメールなどでウイルスに感染しても個人情報や顧客情報が流出したり、ネットバンクへ不正に侵入されたり、などさまざまなリスクに晒されてしま います。
従業員が故意に漏洩
従業員がわざと情報を漏らすケースもあります。会社に不満を持っていたり、社外の人物と協力して不正にお金をだまし取ろうとしていたりする場合、従業員が社内の重要な機密情報を外部に漏らしてしまうのです。
従業員が不審な行動を取っていると感じたら、すぐに社内で不正調査を行うのがいいでしょう。また、事前に社員の身元調査を行っておくことも情報漏洩のリスクを減らすことにつながります。
情報漏洩が起きた場合に会社が背負うリスクや罰則
情報漏洩が起きてしまうと、会社はさまざまなリスクや罰則を背負うことになります。
刑事的責任を問われる
個人情報を漏洩すると、国から是正勧告を受けることになりますが、もし従わなければ「6ヶ月以下の懲役又は30万円以下の罰金刑」が科されます。 刑事罰の種類としては、不正競争防止法違反や窃盗罪、又は業務上横領にあたるケースもあります。
民事上の損害賠償責任
情報漏洩が起きてしまうと民事上の損害賠償責任も発生してしまいます。賠償金額は、状況によりかわりますが、個人情報漏洩の被害者1人あたり数千円から数万円、合計すると数千万円以上になることもあります。
信用が低下する
情報漏洩が起きると当然ながら社会的信用は低下してしまうでしょう。 新しく取引をしにくくなったり、今までの契約を打ち切られたり、自社の商品が売れなくなったりする可能性も高まります。
情報を不正に利用される
漏れてしまった情報が不正に利用されることも考えられます。 不正に情報を利用されると二次被害がどんどん大きくなってしますので、情報漏洩が起きたとわかったらすぐに漏洩した情報について把握するようにしてください。
業務効率が下がる
大きい会社であれば特に情報漏洩が起きたことがニュースなどで報道されることになります。 そうなると顧客や取引先等から問い合わせやクレームが殺到し、本来の業務を差し置いて従業員たちが対応することになりますので、業務効率が大きく低下してしまいます。
従業員による情報漏洩を防ぐための対策
情報漏洩は従業員によるミスや故意的なものが原因であることがほとんどだということはすでにお伝えしました。 では、どのような対策を取れば情報漏洩を未然に防ぐことができるのでしょうか。具体的な対策について解説していきます。
情報の取扱についてルール化
情報漏洩は従業員のミスによって起こることが多いので、データの持ち出しや管理、情報の取り扱いについて明確なルールを決め、それを従業員全員に周知することが必要です。
営業秘密へのアクセス権を設定
重要な情報には、特定の従業員や関係者しかその情報にアクセスできないようにすべきです。個人情報や顧客情報などのデータについては、コピーや印刷をできないように設定する方法も有効です。
セキュリティソフトを導入する
パソコンやモバイルデバイスにセキュリティソフトを導入するのは情報漏洩を防ぐうえで必須です。セキュリティソフトを活用すれば、社内ネットワークに不正にアクセスされたことを検知したり、アップロードされたファイルを管理したりといったことができるようになります。
メール誤送信防止システムを導入する
メール誤送信防止システムとは、メール送信のときミスによる誤送信を防止できるシステムです。宛先のチェック義務化や、メールの返信の権限設定をできるなど、誤送信を防ぐための機能が備えられているので、誤送信ミスによる情報漏洩を防止できます。
ネットに繋がない
個人情報をパソコンで管理しているときは、ネットに繋がないようにすることも有効です。 こうすることで不正アクセスのリスクを低下させることが可能になります。
情報の持ち出しができない仕組みにする
個人情報や顧客情報など重要な情報は社外に持ち出さないよう徹底することも大切です。重要なデータが入ったノートパソコンやUSB、書類などの持ち出しも禁止にするとよいでしょう。
私物の機器を持ち込ませない
私物のパソコンを会社に持ち込ませないという対策も有効です。従業員が故意に情報を抜き取ろうとする場合、私物のパソコンにデータを移そうとしますので、それを防ぐことも重要です。
漏洩が発覚しやすい環境を作る
万が一従業員が情報漏洩を起こしたらすぐにそれが発覚するように環境を整えることもいいでしょう。防犯カメラを設置するなどしてお互いに管理しあうことも大切です。
情報漏洩の罰則を作る
情報漏洩を起こしたときの罰則を作り、それを全従業員に周知するのも有効な対策です。懲戒解雇や損害賠償請求などの罰則があることを把握してもらえば、情報漏洩に関して意識するようになりますし、あえて不正に情報漏洩を起こす従業員は激減するはずです。
従業員としっかりコミュニケーションを取る
わざと情報漏洩を起こす従業員は会社に対して不満を持っていることが多いです。間接的な予防策にはなりますが、従業員としっかりとコミュニケーションを取り、不満や不安を事前に把握しておくことも情報漏洩防止につながります。
従業員に営業秘密の情報を漏洩された場合の法的措置
従業員が情報漏洩を起こした場合
・損害賠償請求
・刑事告訴
・懲戒処分
・懲戒解雇
・退職金返還請求
などの法的措置を取ることができます。 ただし、不正に情報を漏洩させたという証拠がなければこのような法的措置は取れないので、不正の事実を掴むために企業調査に精通している探偵に調査を依頼するのがいいでしょう。
従業員によって情報漏洩が起きてしまったときの対応
万が一、従業員によって情報漏洩が起きてしまったらどのように対応すればいいのでしょう。 自分の会社で情報漏洩が起きたら誰しも焦ってしまい冷静な対応が取れなくなってしまうかと思います。この章では、適切な対応について解説していきますので、落ち着いて行動を取るようにしてください。
漏洩した情報の把握
いつ、どこで、誰が、なぜ、どうしたという5W1Hに基づいて情報漏洩の状況や漏洩してしまった情報の把握をします。 また、情報漏洩が起きたことがわかったらすぐに調査を行うことも重要です。
被害者に連絡する
個人情報が漏洩してしまった場合は、その被害者に連絡します。情報が漏洩された被害者へ連絡をすることで、被害者が自分を守る行動を取ることができるため、必ず報告してください。 被害者への連絡は、二次被害を防止するためにも、情報漏洩が発覚したらできる限り早く行いましょう。
監督官庁へ報告する
被害者に連絡するのが終わったら、監督官庁への報告も必要になります。 具体的な報告先は、会社の事業内容によって以下のように割り振られています。
・電気通信分野 → 総務省
・農林水産分野 → 農林水産省
・金融分野 → 金融庁
・特定の監督官庁がない場合 → 経済産業省
です。 また、不正アクセスによって情報が漏洩した場合や従業員の故意的な不正によって漏洩した場合は警察への届け出も必要になります。
被害者へのお詫びの対応
個人情報漏洩が起きてしまった場合、被害者にお詫びの対応を取ることが求められます。具体的には、商品券やクオカードが配布されることが多いようです。 ただ、これは必ずしなければいけないことではないので、会社の資産状況を考えて対応するといいでしょう。
情報漏洩を行った従業員に対して罰則を行う
もし情報が漏洩した原因が自社内の従業員によるものだとしたら、ルールに基づいて適切な罰則を行うことが必要です。 その際は、その従業員が不正を行ったという証拠が必要になりますので、罰則を行う前に探偵に依頼するなどして証拠を確保しておくといいでしょう。
再発防止策の検討
起きてしまった情報漏洩事件をもとに、再発防止策を検討し、実施してください。情報漏洩事件は一度も起こさないことがベストですが、万が一起きてしまったら再発しないように徹底することが何より重要です。
まとめ
情報漏洩が起きてしまう原因は、従業員によるミスや内部不正、外部からの攻撃などさまざまです。完全に防ぐことは難しいかと思いますが、情報漏洩事件が起これば社会的信用は大きく損なわれ、株価は下落し、取引もスムーズにできなくなるでしょう。
情報漏洩事件を防ぐために、普段から社内の不正調査を行ったり、従業員を雇う際に身元調査を行ったりすることも有効な予防策です。 情報漏洩事件は決して他人事ではないので、ぜひ今回の記事を参考に対策を練ってみてくださいね。