@TOVAS

連載コラム

「企業の情報資産と漏洩対策の目的」

これまでコラムでは、「個人情報漏洩のリスク」「コクヨS&TグループCSRとしての取り組み事例などをご紹介してまいりましたが、今回は情報漏洩に対応する際のポイントについてご紹介させていただきます。

1.企業にとっての財産である情報とは?またそのリスクは?

「企業にとっての財産である情報とは顧客情報(個人情報含む)に限るものではありません」企業にとっての大切な財産とは人/物/金のファシリティは当然の事ながら、それらの財産を管理する情報、新商品開発途中に蓄積された副産物的知的情報、顧客情報 などの間接的データ、企業活動を続けているうちに必然的に蓄積されてきた全ての取引先情報や技術情報など無数に存在しています。これらデーターベース/顧客情報/経営管理情報/会計管理情報/新規開発商品データなど、社外秘情報が外部流出すると、その企業にとっては外部的信用問題に発展したり、また特許取得問題等により新規商品開発の断念、ビジネスモデルの模倣による新規ビジネスの断念、自社の株価下落要因、場合によっては訴訟問題にまで発展しかねません。


2.情報漏洩の原因は?

連日報じられている、企業の情報漏洩事件。これを犯した企業が被るマイナスは、コスト面、イメージ面ともに非常に大きく、情報漏洩事件を改めて自社の経営課題の最重要項目として認識しなおした経営者の方も多いのではないでしょうか?「情報漏洩の原因の80%は内部から」情報漏洩の約8割は内部犯によるもの、そんな言葉を耳にしたことのある方は多いのではないでしょうか?事実、多発する情報漏洩事件における原因の多くは、ハッキングなどの外部要因ではなく、内部の人間による盗難、流出など内部要因が多くを占めているのです。外部要因に関しては、企業の側でも、ハッキングなどを防止するためのファイアウォールや不正侵入検知システムなどの導入、不審人物の出入りを制限するためのIDカード採用、警備員の配備など、すでに実施されている企業も多いと思われますが、意外に内部に対しては対策が不十分と言われております。

「情報漏洩の経路の約80%はインターネットかメディア(CD・MO)」

情報漏洩が後を絶たないのは、実際の漏洩原因の80%を占める内部要因の中の約80%を占めるインターネットやメディア(CD・MO)に対して、対策が不十分だからと考えられます。企業の情報漏洩は内部関係者から起こるケースがかなり多いのは先に述べた通りですが、簡易なインターネットやメディアで持ち出しという方法があることが、さらにその傾向を加速させております。しかもこの経路においては特に、顧客情報、契約情報、社内重要文書など機密性・商品価値ともに高い情報が、外部流出されるケースが大半と言われています

日常業務のこの部分を対策されていない方は非常に危険だといえます!

情報漏洩の比率グラフ



3.情報漏洩の対策は?

「企業の内部に数多くの情報漏洩経路がある 」

実際の漏洩原因はメールや記録メディアを使った持ち出し、紙資料をコピーしての持ち出しなど、従業員や外注業者による内部要因がほとんどの原因を占めています。その中でも特に

「メールへの添付ファイル」

気軽に利用できるこの手段からの漏洩がもっとも多いと言われております。すぐに取り組み効果がでるポイントはやはり身近なこの手段にメスを入れることです。ユーザーにとって日常業務でもっとも身近ポイントに対策をすると、人間の心理的な効果は大きく、その他手段に対しても潜在的な「抑止力」を発揮することができるのです。


4.対策は何の為に?

本来、個人情報や技術情報の取得には「ビジネスを良くしよう、顧客サービスを改善して売り上げを上げよう」という目的があるはずです。にも関わらず、完璧な漏洩防止を求めてユーザーの利便性を下げ、操作手順を複雑化し、結局利用されないシステムを構築することは、「漏れたら恐いから、情報は取らないでおこう」という発想とある意味で同じです。対策と言ってもいたずらにセキュリティを追求するあまり、高度で複雑なシステムを導入したりすると、業務効率が悪くなり、企業の生産性が落ちることになります。これでは本末転倒です。かといって事故が起こってからあわてて対策を練ったりソフトを導入したりしても遅いわけです。

やはり「事故前提社会」という認識に立って、事前に対策を立てておくことが重要なのです。

ここでは「利便性」と「セキュリティ」という、相反する指標の両立が求められます。さらに今まさに求められているのは「ユーザーが使うシステム」且つ「安全なシステム」です。まとめますと以下のようなポイントが重要なキーとなります。

  • ポイント1 できることから始めていくこと
  • ポイント2 ユーザーが使える(使う)ものであること
  • ポイント3 管理者が管理できること(=「トレーサビリティ(いつ・誰が・何を)」の確保)


特に必要な要素はズバリポイント3の「トレーサビリティ(いつ・誰が・何を)」です。

つまり管理されているという意識からくる「抑止力」は重要なポイントです。@Tovasが開催するセミナーではこのようなポイントを押さえつつ「複雑なシステム構築なく即導入、即効果を発揮できる手法」をご紹介差し上げる予定です。

UP

Copyright 2008 KOKUYO S&T Co.,Ltd. All rights reserved.