情報漏えい対策の7つのポイント
情報セキュリティに関する脅威の中でも最も深刻な問題である「情報漏えい」に関する対策のポイントは以下の通りです。(参考:独立行政法人情報処理推進機構)
◆持ち出し禁止(企業の情報資産を許可なく持ち出さない)
社員の中に自宅などで業務を実施するために、情報資産である会社のパソコンや、業務情報が格納されたUSBメモリなどの電子媒体、プリントした書類を持ち帰る人はいませんか。紛失・置忘れ・盗難などの情報漏えい事故がいくつも公表されていることを考えても、管理者の目の行き届かないところで情報資産を利用することは、ハイリスクであると言えます。『大切な情報は持ち出さない』、『仕事を家に持って帰らない』と言うことを原則とすべきでしょう。
◆安易な放置禁止(企業の情報資産を未対策のまま目の届かない所に放置しない)
「業務上大切な書類を机の上に放置したまま席を離れる、あるいは帰宅する」ことや、「離れた場所にあるプリンタに出力した書類を、すぐに取りに行かない」、「個人宛の伝言メモを誰でも見えるところにおく」など、社内で思い当たる状況はありませんか。業務上大切な書類や電子媒体、モバイル可能なパソコンなどを使わない時は、きちんと鍵のかかるキャビネットなどに格納するよう指導します。また業務途中で席を離れる場合、起動中のパソコンには、パスワードロックのできるスクリーンセーバが動作するようにパソコンを付与する前に設定を行うなど、事前に対策を講じましょう。
◆安易な破棄の禁止(企業情報資産を未対策のまま廃棄しない)
社内で業務に使用していたパソコンを、ハードディスクをきちんと消去しないまま廃棄し情報漏えいした事例や、書類を安易にゴミ箱に捨てたために情報漏えいしたと言う事例が報告されています。パソコンのハードディスクの内容を完全に消去するサービスなどの利用や、社内で廃棄のための手順や技術を確立し、それに従う必要があります。たとえば、物理的に破壊することも一つの方法です。また、重要な書類や電子媒体を、一般ごみと一緒にゴミ箱に廃棄しないよう廃棄手順を徹底させましょう。
◆不要な持込禁止(私物の機器類やプログラム等のデータを許可なく企業に持ち込まない)
許可なく持ち込んだ私物のパソコンやUSBメモリなどの外部記憶装置がウィルスに感染していた場合は、社内の他のパソコンやサーバにウィルス感染が広がり、大切な業務情報がインターネットを通じて流出する可能性も考えられます。また、許可されていないネットワーク(オンライン)ストレージサービスを利用し、情報が盗まれる危険性や安易な設定や使い方で情報漏えいが起こる場合もあります。許可のない機器やプログラムなどのデータ、サービスの利用は危険性が高いことを認識しましょう。
◆借り貸し禁止(個人に割り当てられた権限を許可なく他の人に貸与または譲渡しない)
業務で使用する情報やパソコンなどの機器に、利用者権限を担当者ごとに設定している場合、当然のことですが、これらの利用者IDやパスワードを共有したり、貸し借りしたりすることは、情報セキュリティ上、非常に大きな問題を引き起こす可能性があります。また、問題が発生したときの原因追及にも影響を及ぼします。同じ理由で、パスワードなどを忘れないようにパソコンに貼り付けておくことも、セキュリティ上問題のある行為です。
◆公言禁止(業務上知り得た情報を許可なく公言しない)
仲間と雑談しているときに、業務上の情報を無意識に口にしてしまい、それを第三者に聞かれるなど、ちょっとした気の緩みから情報漏えいを起こすことがあるようです。また、最近ではSNS(ソーシャル・ネットワーキング・サービス)やブログ、掲示板でのやり取りにも注意を促す必要があります。守秘義務に対する意識向上を図りましょう。
◆まず報告(情報漏えいを起こしたら自分で判断せずに、まず報告)
社員が何らかの誤りで情報漏えいを起こしたり、あるいは情報漏えいを発見したりした場合は、社員が自分で何とかしようとする前に、速やかに上司や管理者に報告するよう、社員への意識付けを行いましょう。自社のことだけでなく、情報漏えいによって被害を受ける様々な関係者の被害を最小限に抑える必要がありますので、速やかな対応を行うためには、社員からの迅速な報告が不可欠です。