情報化・IT活用

情報化・IT活用

2020/5/16

情報漏えいリスクを防ぐため、中小企業ができる情報セキュリティ対策とは

[情報漏えいリスクを防ぐため、中小企業ができる情報セキュリティ対策とは]トップ画像

昨今、インターネットを事業の中で活用する機会が多々あります。少し前までは、IT関連事業を営んでいる業態だけでしたが、生産性向上や情報伝達の時間短縮など、様々なメリットを理解され、全世界的に普及が進んでいます。
しかし、インターネットは便利な反面、デメリットも存在します。その一つに、高度な専門知識や人材がないとセキュリティ対策が難しいということがあると思います。
情報漏えい事案は1年間に約100件発生していますが、起こした企業に対する目は非常に厳しくなります。今回は、中小企業ができる情報セキュリティ対策について、経営支援アドバイザーの宮高信之氏がお話いたします。

中小企業からのよくある質問

情報セキリュティ対策の知識を持った従業員がおらず、不安を感じています。情報セキュリティ対策について知りたいです。

この質問に回答する専門家

宮髙 信之さん画像

中小企業庁ミラサポ専門家派遣 登録専門家

認定経営革新等支援機関 経営支援アドバイザー

医療機器開発コーディネータ

宮髙 信之

電機メーカーにて電子機器設計エンジニア及びマネージャーとして、様々な商品のものづくり技術全般を一気通貫に経験、本社のみならず国内海外(U.S.A)事業所にも勤務。長年ものづくりに携わってきた専門家。

目次

見出しアイコンITが普及する中、どのような情報漏えい事案があるのか

現代はITが普及していますが、それと比例して、情報漏えいのリスクに係る問題が多々発生しています。情報を扱う企業としては、情報漏えい事案の発生を公表することで、自社の信用が大きく失墜するというリスクも抱えています。ではまず、どのような情報漏えい事案があるのかを見ていきましょう。

個人情報の漏えい
情報漏えい事案として真っ先に挙げられるのが「個人情報の漏えい」です。
個人情報とは、主に自社ショッピングサイトなどの会員情報(会員ID・パスワード、会員の氏名、住所、電話番号、メールアドレス、顔写真、誕生日、性別、クレジットカードの番号、各種支払方法、等)などです。これらが悪意のある他人の手に渡ってしまうと、その後様々な被害を発生させる可能性が一気に高まります。

社内の機密情報の漏えい
個人情報以外にも、様々な機密情報が社内にあります。これらがもし漏えいすれば大変なな事態に陥ります。
例えば、発注元から提供された未発表機器の設計データが漏えいし、それが発注元の競合相手に渡ってしまった場合などです。この場合は、設計データの管理体制が問われることになります。

見出しアイコン情報漏えいが起こるとどうなるのか

企業は、情報漏えいが起きないように努力しなければなりません。それでも、自社の事業で情報漏えいが起きてしまう可能性はあります。では、実際に情報漏えいが起きたらどうなるのでしょうか。また、情報漏えい後の事態を最小限に抑えるためにどうすればいいのか、ご説明いたします。

情報漏えいが起きたら、どうなるのか
情報漏えいが起きたら、顧客などのステークホルダーから問い合わせの電話が突然数多くかかってきます。当然、これは最優先で対応しなければなりません。その際に、電話回線がパンクして応答出来なければ、ステークホルダーの不満の矛先はSNSなどに移り、すばやく拡散されます。インターネットに載った情報は、真偽に関わらず二次拡散していきます。非常に恐ろしい事態が短時間のうちに発生してしまうのです。

情報漏えい事案の対応により本業がストップしてしまうと、当然取引先からの問い合わせも急増します。
これらの被害を金銭に換算することはなかなか困難ですが、決して小さくはないでしょう。財務基盤が脆弱な企業では、非常に苦しくなってしまいます。

情報漏えいを想定したリスクマネジメントを
情報漏えい後に大きな混乱が起きている場合は、情報漏えいを想定したリスクマネジメントが出来ていないということになります。昨今、情報漏えいだけでなく、自然災害やエネルギー問題、また少子高齢化による労働人口減少などもあり、事業における不確実性が高まってきています。そのため、中小企業であっても、事業の継続・発展のために、リスクマネジメントやBCP(事業継続計画)を考えておく必要が高まっていると思います。そのうえで、情報漏えいに対するリスクマネジメントも行っておきましょう。

見出しアイコン情報漏えいが起こる要因とは?

「情報漏えい」と聞くと、外部(ハッカー)からの攻撃をイメージする方も多いかもしれません。しかし、分析してみると、その要因は4つあることが分かりました。それを以下の表にまとめましたので、詳しくご説明いたします。

社内的な要因「リテラシー」「ルール違反」
まず、社内的な要因としては、リテラシーの問題とルール違反があります。
リテラシー(literacy)の意味は「能力」です。コンピュータ・リテラシー、情報リテラシーと表現されることもあります。リテラシーが要因となる事案は『コンピュータの誤操作』がほとんどです。
例えば、大事な顧客名簿を電子メールに添付し送信する際、宛先を間違えて送ってしまったことに気付かない、等です。
ルール違反は、社内規定の中に機密情報の取り扱いを定めていない場合などに起こります。 また、社内規定で機密情報を無許可で持ち出してはならないにも関わらず、『風呂敷残業』するためにデータをコピーしたUSBメモリーを持ち出し、帰宅途中の電車に置き忘れた、等もあるでしょう。
実例としては2019年、神奈川県庁が所有していた、納税者などの情報が入ったHDD18個が適正に処理されず、オークションに出品されたという事案がありました。県庁および委託先企業のルールが徹底されておらず、情報漏えい事案に発展したのです。

外的な要因「意図的な攻撃」「システムの不具合・バグ」
外的な要因として、悪意のある者からの意図的な攻撃や、システムの不具合・バグがあります。いずれも、自社だけで防ぎきれるものではありません。
意図的な攻撃に備えるには、強固なファイヤーウォールを構築し、(Windows updateなど)適時更新するしかありません。外的要因への対策には際限がないのです。

見出しアイコン情報漏えいにはどのような対策をすべき?

前章で、情報漏えいが起こる要因について説明し、社内的な要因と外的な要因があることが分かりました。では、それぞれの要因について、どのように対策をすればよいのでしょうか。情報漏えい事案の具体的な対策を述べたいと思います。

社内的要因への対策
社内的な要因に対する対策は、大きく分けると3つあります。

1.従業員の意識向上策
「情報漏えい事案は会社全体に影響する事案だ」と従業員に意識してもらうようにしましょう。もし、セキュリティ事案が発生した場合どうなるのか、自分の業務に照らし合わせて各自考えてもらいます。これをレポートにまとめ、経営会議で従業員全員が宣言するくらい危機感をもってもらうべきだと、私は考えます。

2.従業員のITリテラシー向上策
ITリテラシー向上の取り組みとして、勉強会の開催、eラーニングや理解度テストの実施、向上度合を確認する仕組みの構築、があります。IT技術は日々進化しているため、継続的な改善活動に取り組みましょう。
IPA 独立行政法人 情報処理推進機構が行っている「ITパスポート試験」の問題を解ける程度の知識を身につけることを、目標にするとよいと思います。

3.ルールを守る組織風土
情報漏えい事案は、社内にルールを守らない人が一人でもいたら、発生率がぐんと上がります。そのため、コンプライアンス・法令順守を徹底した組織を作り上げなければなりません。「業務に関する情報はSNS投稿禁止」など、具体的な指示を折に触れて管理者が指示しましょう。

外的要因への対策
外的な要因に対する対策について、中小企業の場合はリソースが限られており、完璧なものを実現することは厳しいです。
そのため、信頼できるITパートナーの協力や更新費用が必要です。情報漏えい事案により自社の信頼が失墜してしまった場合の損失額と比較すれば、相当少ない費用となるはずです。 従業員が普段使っているパソコンなどの管理は各自で行うようにしてもらい、windows update も適時してもらうように促します。
また、システム部門がなかったり、ITに詳しい人材が自社内にいない場合の解決方法としては、「システムをクラウドに移行する」という方法があります。そうすれば、個々のパソコンにソフトウェアをインストールする手間や、こまめなアップデートから開放されます。

見出しアイコン情報漏えいを防ぐために

情報漏えいリスクを防ぐために、中小企業ができる情報セキュリティ対策は何か。それは、まず全従業員の『意識改革』であります。全員が自社の問題と意識し、ルールを守り、行動に移すことです。
次にITリテラシーの向上です。ITが苦手な人にとって、「ITパスポート試験」に合格する知識を身につけるというのは大変だと思います。ただ、先述のように、経営者は「誰か一人の誤操作で社の信頼を失墜させないために必要である」ということを、従業員にしっかり伝えることが重要です。
そして、システム更新時の工夫です。IT人材がいない場合、クラウドなどITシステムの管理の手間がなるべく掛からないシステムへの移行を検討するとよいと思います。

専門家紹介


宮髙 信之さん画像

中小企業庁ミラサポ専門家派遣 登録専門家

認定経営革新等支援機関 経営支援アドバイザー

医療機器開発コーディネータ

宮髙 信之

専門分野

□ ものづくり(特に電気や基板の製造)

□ 知的資産経営/経営革新

□ ITを活用した経営力強化

自己紹介

技術者と経営コンサルタントの『二刀流』で全力支援
電機メーカーにて電子機器設計エンジニア及びマネージャーとして、コンスーマー商品から業務用システムまで様々な商品の開発・設計・試作・製造・製品評価・サービスサポート等ものづくり技術全般を一気通貫に経験、本社のみならず国内海外(U.S.A)事業所にも勤務。
長年ものづくりに携わってきたエンジニアとしての経験や技術力、及び経営に関する知識を併せ持つ『二刀流』専門家である。
●ミラサポ専門家 紹介ページ
(注)ミラサポのアカウントでログインが必要です

・この専門家の他の記事をみる

・このカテゴリーの他の記事をみる

Engunのメールマガジンに登録する
Engunの冊子をダウンロードする

Introductionご案内

Engunの専門家に質問する