中小企業の4割は情報漏洩経験あり!?情報セキュリティ管理を見直そう
生産性向上に寄与するデジタルデバイスやシステムの発展が加速しています。一方、情報セキュリティ管理の重要性は増すばかりです。最近では、テレワークの浸透により社員一人ひとりが情報資産を扱う機会も増え、情報セキュリティへの関心も高まっています。
万が一、「情報漏洩事故」を発生させてしまった場合には、事故後の対策費用や信用失墜のリスク回復に苦しむケースも少なくありません。そこで本記事では、株式会社日本パープルが大都市の中小企業を対象に実施した「情報セキュリティアンケート」の結果をもとに、情報セキュリティの現状やリスクを読み解き、正しい管理方法について解説します。
※アンケート「約4割の中小企業が情報漏洩事故を起こしているのに、約8割が取り組みできていると回答!?」~情報セキュリティの管理は本当に万全ですか?~
<調査概要>
【名称】「社内の情報管理」に関する調査
【調査期間】2020年11月19日(木)~ 2020年11月26日(木)
【調査方法】インターネット調査
【調査人数】1,039人
【調査対象】一都三県・愛知県・大阪府・京都府・兵庫県・北海道・福岡県にある中小企業の課長職以上の方
【モニター提供元】ゼネラルリサーチ
出典:株式会社日本パープル プレスリリース(2020年12月9日)
情報漏洩事故の現状
アンケートで明らかになったのは、中小企業の約4割が情報漏洩事故を起こした経験があり、その後何らかのリスクを負っているという事実です。情報漏洩と一言で言っても、その原因は様々。USBの紛失やメールの誤送信、SNSでの誤った発信など、実に多岐にわたります。いくら社内ルールを定めていても、社員一人ひとりの意識的な行動が伴わなければ情報は簡単に流出してしまいます。企業側はその事実をしっかり認識し、情報セキュリティを定期的に見直して自社を安全な状態に保つよう取り組んでいかなければなりません。
出典:株式会社日本パープル プレスリリース(2020年12月9日)「約4割の中小企業が情報漏洩事故を起こしているのに、約8割が取り組みできていると回答!?」~情報セキュリティの管理は本当に万全ですか?~
情報漏洩事故が発生した際に負うリスク
アンケートから、情報漏洩事故後のリスクについても見てみましょう。「情報漏洩事故が起きた際に、どのようなリスクを追うことになりましたか?」という質問に対し、「事後対策費用」「社会的信用の失墜」「損害賠償」という回答が上位3位となっています。
出典:株式会社日本パープル プレスリリース(2020年12月9日)「約4割の中小企業が情報漏洩事故を起こしているのに、約8割が取り組みできていると回答!?」~情報セキュリティの管理は本当に万全ですか?~
事後対策費用
全体の約4割を占めたのが、この事後対策費用です。事故の原因究明やシステムの現状回復のための費用が発生するのは当然のこととして、情報漏洩で迷惑をかけた顧客への謝罪のためのコストも見逃せません。少しでも負担を軽減するための第一歩は、やはり事故を未然に防ぐシステムの確立です。定期的なメンテナンスや更新などに加えて、社内でのセキュリティ管理に対する緊張感を高めることも有効な手立てとなります。仮に事故が起きてしまったら、当然ながら社内の情報セキュリティ管理体制を見直す必要があります。ただ、社外からコンサルタントを雇うことやシステムを再構築することになり、改めて費用がかかることは避けられません。
社会的信用の失墜
情報漏洩事故が起こると、世間から事故を起こした会社として見なされ、信用が失墜してしまいます。一度失ってしまった信用を取り戻すことは、並大抵のことではありません。信用が回復できないままだと売上減少にもつながり、最終的に企業の存続を左右する事態にまで発展することも充分にあり得ます。
損害賠償
個人情報・機密情報が漏洩した場合、対象者や取引先から損害賠償を請求されるケースがあります。またJSNA(日本セキュリティ・ネットワーク協会)のデータによると、漏洩事故1件あたりの平均想定損害賠償額は6億3,767万円となっており、その額の大きさからも情報資産管理の重要度が伺えます。※参考)2018年情報セキュリティインシデントに関する調査結果
本当に情報セキュリティ対策はできているのか?
アンケートによると、全体のうち約8割が自社のセキュリティ管理は大丈夫だと感じているようです。しかし、実際には4割の企業が事故を経験しています。事故をゼロにするためには、根拠のない過信をせず、しっかりと自社に合う情報セキュリティを導入することが必要です。さらに情報セキュリティ管理に関しては、毎年のように新たな手法が更新されています。一度整備したから問題ないということでは決してなく、最新情報を入手し、定期的に見直すことが大切です。
出典:株式会社日本パープル プレスリリース(2020年12月9日)「約4割の中小企業が情報漏洩事故を起こしているのに、約8割が取り組みできていると回答!?」~情報セキュリティの管理は本当に万全ですか?~
情報資産を守るためには?
情報セキュリティ管理に企業の大小は関係ありません。社員が1人でもいれば、情報資産は存在します。昨今ではテレワークやハイブリッド型のワークスタイルが定着しつつありますが、働き方が変わると情報漏洩のリスクは高まります。情報を社外へ持ち出すことでこれまでとは違った様々なリスクが出ることを想定して、対策をとらなければなりません。
特に、ルールを制定する役職クラスとそれを実際に運用する社員では、考え方やデバイスの使い方などに多くの違いがあるため、幅広い視点での規定が求められます。多様化する働き方の中で情報漏洩事故を防ぐには、社員一人ひとりの意識的な行動が重要だと言えるでしょう。テレワークで移動時間などを有効活用できるようになった今、しっかりと時間を使って、社内の情報セキュリティ管理に向き合ってみてはいかがでしょうか。
情報セキュリティ教育・コンサルティングサービス「Coach Mamoru」
しかし実際には、まだ情報セキュリティを管理する部署ができていない、どう進めて良いか分からないといった中小企業も多くあると思います。そこでおすすめしたいのが、日本パープルの「Coach Mamoru(コーチマモル)」です。企業の抱える情報セキュリティ課題に対し教育・コンサルティングを提供するサービスで、企業の特徴に合わせて内容をカスタマイズすることが可能。具体的には3つの支援を行っています。
1.認証資格コンサルティング(取得・更新)
プライバシーマーク、ISMS(ISO27001)の取得及び更新に必要な規程類の見直し、リスクアセスメント、内部監査、提出書類の整備などを支援します。
2.規程・ルール作成支援
企業の現状や課題に合わせて、カスタマイズした規程やルールを作成支援します。最新のトピックを取り入れることも可能です。
3.教育・研修(集合研修・eラーニング)
課題や現状に沿った教材(理解度テスト・オリジナルケース)を使用した研修を行います。新戦力(新人・内定者など)、経営層(部門長など)、全社(部門横断)など階層別等に分けて実施することで、社員一人ひとりの意識向上を目指します。
課題把握から運用・定着まで全方位のサポートを行っていますので、現状の情報セキュリティが充分かどうか不安な方は、一度相談してみてはいかがでしょうか。
情報セキュリティ対策についてお役立ち資料はこちら
| 【資料ダウンロード】 \これだけは抑えておきたい/「改正個人情報保護法対応チェックリスト」 |
