機密情報漏洩というと外部からのアタックをイメージする方が多いようです。
実は機密情報漏洩の原因の72.3%が内部漏洩だと言われています。(注1)
その内訳を見ると人的ミスが大半を占めています。

1位:紛失・置き忘れ・・・26.2%
2位:誤操作・・・24.6%
3位:不正アクセス・・・20.3%

近年の傾向として 1位:紛失・置き忘れ と 3位:不正アクセス が増加傾向にあり、2位:誤操作 は常に一定割合で発生しています。

また、管理ミスによる漏洩が減少傾向にあり、優れたツールやサービスの普及により管理がされてきていると言えます。

(注1)『2018年情報セキュリティインシデントに関する調査報告書』参考(NPO 日本ネットワークセキュリティ協会調査)

70%以上が内部漏洩であるにも関わらず、内部漏洩対策はあまり取り組めていないという企業が多いように感じられます。外部から攻撃にばかり目が行っているということはないでしょうか?

漏洩した媒体の経路

機密情報漏洩の媒体としては

1位:紙媒体・・・29.8%
2位:インターネット・・・26.6%
3位:電子メール・・・21.4%
4位:USBなどの記憶媒体・・・12.6%

紙媒体は1位ですが年々減少傾向にあります。電子メールやUSBからの漏洩が増えてきています。

機密情報を漏洩させない方法

最初にしてほしいのは自社で保有する情報をすべて把握することです。紙の資料、デジタルデータ、従業員が持つノウハウや技術も全て機密情報に該当します。重要な情報が漏えいしないよう、重要な情報へのアクセス制限を求めるセキュリティを強化するなどのセキュリティ対策も必要です。

また、社員の情報管理に対する意識づけに取り組みましょう。機密情報を漏洩させないために、下記の4つの項目を整備して下さい。

1.機密情報の把握・管理

まずは自社においてどのような機密情報を保有しているのか、確認し把握します。保有する情報の把握をする際には、個人間で判断にばらつきが出ないようにするため、社内で「何が機密情報なのか」という統一の基準を設けるのが望ましいです。保有する情報の全体像の把握といっても、自社内に現在存在する書類や電子データなどの1つ1つを全て確認するということではありません。情報の種類を、ある程度一般化・抽象化した形で把握することです。把握した情報の質を、経済的価値や漏洩した場合の損失の大きさといった指標に基づいて評価し管理しましょう。

2.適切なセキュリティシステムの構築

情報漏洩を防ぐには、適切なセキュリティシステムの構築は欠かせません。セキュリティ体制を定期的にチェックするようにし、怪しいアクセスなどがないか確認しましょう。あわせて、不正アクセスを監視・排除するセキュリティ対策システムを導入することや、多要素認証の導入などでより強固なセキュリティ体制を構築することが重要です。また、取引先にもセキュリティ体制があるか確認するようにしましょう。

3.担当者の選任・教育

機密情報を取り扱うことができる人数は、不用意に大人数になるのは望ましくありません。機密情報を取り扱う担当者は自社の規定に従って、責任あるポストである旨を明示し、専任として担当者を配置すべきです。情報の漏えいを防止するには、社員教育も欠かせません。漏洩対策の1つが機密情報を取り扱う意識づけになり、教育は大きな役割を担います。情報漏えい対策の手順や、社内情報に関するセキュリティポリシーを策定し、社員への教育を徹底しましょう。内容としては、社内文書の社外への持ち出しや複製禁止の周知徹底や、機密度レベルに合った管理方法を明確にルール化することなどが挙げられます。

4.取り扱い規定を定める

上記の機密情報の取り扱い方法を機能させるためには、ルール化する必要があります。ルール化する方法は、一般的には就業規則や情報管理規程といった社内の規程を定めることです。関係者が機密情報の管理を適切に行うことができるよう、秘密として保持すべき情報は何かということと、その情報をどのように取り扱うのか理解できるような内容にしましょう。社内の規程を周知し、関係者の機密情報に対する理解を深めることはそれ自体が「機密情報に対する認識の向上」に寄与します。重要な情報の取り扱いについて規程を定め、対外的にも信用に繋げるようにしましょう。