情報セキュリティ

情報漏洩が起こった“後”の話。被害を食い止める対応と再発防止策


shutterstock_570168007

2億円。
この数字が何を意味するか、皆さんは想像がつくでしょうか。企業が情報漏洩を起こしたときの平均損失額です(「2015年度データ漏洩/侵害調査報告書」より)。

自社の情報や顧客の情報など企業が持つ情報の種類はさまざまですが、いずれも外部に漏らしてしまえば、信用・競争力の低下など企業にとって大きな打撃になることは間違いありません。

しかし、どれほど厳重に注意していても、時として情報漏洩は起きてしまうもの。つまり重要なのは、情報が漏洩した後の対処の仕方なのです。今回は、情報漏洩が起きてしまったとき、被害を最小限に抑えるためにはどのような対応をとるべきかを紹介します。

※「まもりの種」は保護(まもる)くんの日本パープルが運営しております。

①社内調査「いつ、誰が、何を、どのように起こったかを徹底的に」

shutterstock_494287042

情報漏洩が発覚したとき、最初に取り掛かるべきは「社内調査」です。

「いつ、誰が、何の情報を、どのように漏洩させ、いまどのような状態なのか」を、社内で徹底的に調べるようにしましょう。状況把握を正確にすることによって、その場に合わせた適切な対応が見えてくるもの。

詳細な状況を素早く把握し、会社としての方針を決定させていく必要があるので、決して事実を隠ぺいしないよう強く働きかける必要があります。

②原因究明「本質的な解決をするために、避けて通れない道」

shutterstock_363726254

状況が正確に把握できたら、続いて「原因究明」をします。

情報漏洩が起きると、事の重大さに焦って「どうしたら今の状況が収まるのか」という目先のことばかり先走って考えてしまうもの。しかし、原因をしっかりと見極めないと、いくらその場を収めても本質的な解決にはつながらず、また同じ問題が起きてしまうでしょう。

情報漏洩を今後起こさないようにするためにも、「なぜ起きてしまったのか」という原因を突き止めることが大切。非常時に冷静な行動をとるのはなかなか難しいことですが、ここは必ず意識するようにしましょう。

③初動対応「被害拡大の防止と事実の公表を素早く行う」

shutterstock_376505077

社内調査・原因究明を終えたら、「初動対応」に移ります。

まずは、漏洩した情報がこれ以上広まることを防ぐために、漏洩先に対して情報の削除を要請する働きかけをしていきましょう。

情報の拡散を防ぐことができたら、続いて対外向けに情報漏洩があった事実を公表します。事実を潔く認めることによって、企業イメージの悪化を最小限にとどめる努力をするのです。

④責任追及「社内的にも社外的にも、厳しく処罰することが大切」

shutterstock_325505723

情報漏洩の原因になった社員、またその社員が所属する部署については、「責任追及」していくことになります。

これは違反行為をした社員に対する懲罰的な意味合いがあると同時に、「情報漏洩を受けて厳しく対応している」ことを対外向けにアピールするという役割も果たしています。

社員に対して責任追及するのは辛いことではありますが、情報漏洩への危機意識を社内全体に浸透させるためにも決して怠らないようにしましょう。

⑤再発防止策の検討「多角的な視点から、現状に合った手段を見つけよう」

shutterstock_548561134

最後に、同じ問題が起きないよう「再発防止策の検討」を行います。

経済産業省が平成28年9月に策定した「秘密情報の保護ハンドブック~企業価値向上に向けて~」で挙げられている5つの観点を紹介しますので、情報漏洩が起こった原因と照らし合わせて、どのような防止策を策定するのがベストか検討してみてください。

1.秘密情報に近寄りにくくする

1つ目に紹介する対策は、「秘密情報に近寄りにくくする」というものです。

流失してはならない秘密情報に誰でも触れられる環境であれば、情報漏洩が起きてしまうのは当然のこと。機密性の高い情報はアクセス権を制限し、本当にその情報が必要な社員にのみ公開するようにしましょう。

また、外部からのサイバー攻撃から守るために、流出してはならない情報はインターネットにつながないパソコンで使用するようにすることも有効な手段です。

2.秘密情報を持ち出しにくくする

情報漏洩の原因として、社員が情報を社外に持ち出しやすい状態だったということも考えられます。

情報を適切に管理するためには、社員が「秘密情報を持ち出しにくくする」環境を作ることが大切。具体的には、持ち出しを可能にしてしまう私物USBの持ち込みを禁止しましょう。

情報の持ち出しが、どれほどのリスクを孕んでいるかを社員に意識づけさせることによって、誤って情報を流出させる可能性も低くできるのです。

3.漏洩を見つかりやすくする環境をつくる

社員によって情報漏洩が意図的に行われた場合は、「漏洩を見つかりやすくする環境づくり」をしていくことが必要になります。

“監視されている”という意識を従業員に持たせることが抑止力につながるので、まずは防犯カメラを設置しましょう。また、機密情報を盗み出せる場所(重要書類が保管されている引き出し等)が死角にならないよう、オフィスのレイアウトを工夫することも有効。

社員による情報漏洩を心理的な面から抑制したい場合は、ぜひ実践してみてください。

4.「秘密情報」だという意識を社員に芽生えさせる

社員が故意に情報漏洩を起こしたのではなく、「秘密情報だという自覚がなく持ち出してしまった」というケースもあります。

そんな場合には、社員に「秘密情報だという意識を芽生えさせる」ことが重要。具体的に言うと、秘匿性の高い情報には“マル秘”マークをつけることで、その情報が外部に漏れてはいけないものだということを視覚的に認識させるようにしましょう。

そして、秘匿性の高い情報をどのように扱わなければならないのか、ルールを明確に定めて社員に周知・徹底することで情報漏洩に対する感度を高めることができるのです。

5.社員のやる気を高める

最後に紹介するのは、社員が会社に恨みを持って情報漏洩を起こした場合に考えなければならないことです。

社員が会社に対して強い負の感情を抱いてしまうのは、社員を大切にしていない会社が原因かもしれません。ワークライフバランスを考えた働き方を提供したり、社員の声をしっかりと反映させた経営を行うことで「社員のやる気を高める」ようにしましょう。

一見関係のないように見える取り組みですが、会社に対する社員の満足度を上げることで、間接的に情報漏洩のリスクを減らすことにつながるのです。

失敗から学びどう活かすかが、企業の今後の運命を握る

shutterstock_541886653

ここまで、情報漏洩が起きたときの対応と再発防止策について紹介してきました。

人が必ずミスをしてしまうように、企業もまたミスを犯してしまうのは仕方のないことです。大切なのは失敗から何を学び、どう活かすか。皆さんの企業で万が一情報漏洩が起きてしまったら、反省すると同時に、会社をもう1段階上のレベルに引き上げるための試練だと捉えて、誠実に対応するようにしてみてください。