情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
<もくじ>
1)中小企業の情報得セキュリティ対策の現状
2)中小企業は攻撃の対象にならないのか?
3)前提となる基本的な対策
4)優先すべき対策を明確に
1.中小企業の情報セキュリティ対策
1) 中小企業の情報セキュリティ対策の現状
3月8日、独立行政法人情報処理推進機構(IPA)は「2015年度 中小企業における情報セキュリティ対策に関する実態調査」を公開しました。
◆独立行政法人情報処理推進機構「2015年度 中小企業における情報セキュリティ対策に関する実態調査」報告書
※(「小規模企業」は従業員数が20人以下(建設業、製造業、運輸・輸送業、金融・保険業、不動産業)または5人以下(卸・小売業、情報通信業、サービス業・その他)。「中小企業」は従業員数が小規模企業より多く、300人以下)
本調査は、中小企業の20歳以上の経営者・IT担当者・従業員を対象に、セキュリティ対策状況について実施されたWebアンケートの結果をまとめたものです。
その結果、従業員数が20人以下の小規模企業では過半数となる50.3%が社員の私物のスマートフォン(スマホ)やタブレット端末の業務利用(BYOD)を認めており、100人以下の中小企業では38.9%、101人以上の企業では26.9%で、企業規模が大きくなるほどBYODを認める割合が低いという結果が得られています。
傾向としては、規模が小さい企業ほど「BYOD利用率が高いがパスワード設定率は低く、対策が不十分」となっており、情報セキュリティ対策の不備が浮き彫りになっています。
調査結果の主なポイントは以下の通りです。
- 小規模企業の過半数(50.3%)が社員の私物のスマホやタブレット端末の業務利用(Bring Your Own Device:BYOD)を認めている。
その一方で、端末の紛失・盗難時に、業務上の機密情報や個人情報が漏えいするリスクを回避するためのパスワード設定の実施割合は、小規模企業で56.7%と中小企業に比べて実施率が低い傾向にある。 - 「組織的に情報セキュリティ対策担当者がいる」と回答した小規模企業は19.6%で、全体平均(44.6%)の半数にも満たない
- そして、小規模企業の72.2%は社内・社外の「情報セキュリティの相談窓口が特にない」状態にある。また小規模企業の80.9%は「情報セキュリティ教育を実施していない」と回答。
【BYOD:Bring Your Own Device】 企業などで従業員が私物の情報端末などを持ち込んで業務で利用すること。私用で普段から使っているスマホなどから企業の情報システムにアクセスし、必要な情報を閲覧したり入力したりすることなどを意味する。
これまで業務で利用する情報機器は会社側が一括で調達して支給するのが一般的だったが、BYODを導入することで企業側は端末購入費や通信費の一部などのコストを削減することができる。社員側は同種の端末を「2台持ち」する必要がなくなり、普段から使い慣れた端末で仕事ができるというメリットがある。
ただし、会社が支給する端末と異なり、端末の設定や導入するソフトウェアの種類などを企業側が完全にコントロールするのは難しいため、情報漏洩・ウイルス感染などへの対策や、紛失・盗難時の対応などが複雑になることが多い。また、業務中に利用できる機能やアクセスできるサイトを制限するといった対応も難しくなる。本来私用の端末であるため、通信履歴や保存したデータなどをどこまで会社側が取得・把握するかといったプライバシーとの両立の問題もある。
2) 中小企業は攻撃に対象にならないのか?
本調査では、中小企業、とくに小規模企業において、情報セキュリティ対策を実施するための人員や意識不足や放置など著しい不備が明らかになっています。ひと口に中小企業といっても、業種・規模によって対策状況は異なりひと括りにできないとはいえ、今後もリソースが十分でないといわれる中小企業であっても必要最低限の対策を実施することが望まれます。
最近われわれが対応を支援する件数が特に増加傾向にある事案が、情報流出事故対応であり、企業規模の大小にかかわらず多数発生しています。企業等が保有する重要情報を標的にした不正アクセスや、内部不正による情報漏えいなどが企業の大きな脅威となっていますが、サイバー攻撃の対象は大企業や政府機関だけではありません。企業にとっては直接的な被害だけでなく、取引先や一般消費者を標的とした攻撃の踏み台にされる場合もあります。中小企業の情報など犯罪者や攻撃者が欲しがるはずはないとの考えは間違いです。たとえば標的企業の守りが堅い場合、標的にたどり着くため、周辺企業から攻撃を仕掛けることは珍しくありません。標的企業の取引先サイトに侵入したり、知人のアカウントを乗っ取ったりすることで攻撃のための情報を窃取することもあれば、知人になりすましてバックドアなどのマルウェアを送り込むこともあります。あるいは標的がアクセスしそうなサイトなどに侵入して待ち伏せることもあります。
このような高度な攻撃以外でも、単純に侵入しやすいという理由で、DDoS攻撃やマルウェア配布に利用する「踏み台」として狙われることもあるでしょう。踏み台として狙われるのは、個人利用のスマホやタブレット端末やPCなど一般にセキュリティの甘いシステムになります。
同様の問題は、いわゆる大企業も懸念すべき点です。業務委託先や再委託先企業のセキュリティレベルはどうでしょうか。委託元は、委託先が再委託する相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先から事前報告又は承認を求めることや委託先を通じて定期的に監査を実施する等、委託先が再委託先に対し監督を適切に果たすこと、安全管理措置を講ずることを十分に確認することが望ましいと言えます。また、BPO(Business Process Outsourcing)における個人事業主の利用やBCP(Business Continuity Plan)における有事の在宅勤務、フリーランスの増加等の様々な場面でセキュリティに対するモラルや問題も問われることになります。
つまり、中小企業だから狙われないだろうと、セキュリティ対策をおろそかにすることは、攻撃者のまさに思う壺、恰好の餌食ということなのです。その結果、自社は侵入された被害者であるはずなのに、取引先や一般ユーザーに対して加害者になってしまうといった事態も起こりかねません。
3) 前提となる基本的な対策
では、中小企業はどのような対策が重要なのでしょうか。まず、以下に示す基本的な対策を確実に実施することが重要となります。
- PCにはウイルス対策ソフトをインストールし、定義ファイルの更新も確実に行う
- PCやサーバーのOS、アプリケーションを最新のものに保つ
- ファイアウォールやWebフィルタリングを導入する
- パスワード管理の強化(使いまわしや推測できものにしない)
- 標的型攻撃の脅威に関する周知・社内教育
- Webサイト脆弱性の把握とセキュリティホールの手当て
- スマホ・タブレット端末の管理とルールの使用ルールの設定
最新の攻撃手法に対しては、従来型の防御では防ぎきれない事例が多くなってきていますが、それがまったく無意味になったというわけではありません。現実に発生している攻撃の多くは既知の脆弱性(セキュリティホールなど)を利用するもので、未知の脆弱性を突いたものは攻撃全体の1割にも満たないという統計もあります。また、脆弱性が発見されセキュリティパッチが公開されると、その脆弱性を突いた攻撃が増えるという事実もあります。攻撃者は、セキュリティパッチが公開されても、それを更新しないユーザーが大勢いるのを知っているのです。
多様化、高度化するサイバー攻撃に対しては、従来のセキュリティ対策だけでは十分に防げないこともあります。たとえば以前は、メールやWebが主な感染ルートだったのですが、現在は、スマホやUSBメモリやSDカードも新しい感染ルートとして考える必要があります。
あるいは、フィッシングサイトや標的型メールによって、ユーザー本人がウイルスや攻撃と認識しないでパスワードを偽造サイトに入力してしまったり、マルウェアを実行してしまい情報を外部に流出させてしまったりすることもあります。正規アカウントでログインしたユーザーが実行する処理は、たとえそれが乗っ取られたアカウントやPCであっても、コンピューターには区別はつきません。
このような最近のサイバー攻撃に対処するには、ウイルス対策ソフトやファイアウォールだけでなく、侵入検知、ふるまい検知、サンドボックスなどの高度なソリューション・検知技術が必要になります。
4) 優先すべき対策を明確に
その他にも、自社の情報資産を守るうえで、全てのセキュリティ対策をカバーするのが理想ですが、コスト的に困難な場合は、優先度の高いものから順次検討していきたいところです。最近特に気をつけたいのが、Webサイト改ざんのリスクです。
昨年から今年にかけてECサイトや大学・研究機関、病院への不正アクセスやWebサイト改ざんによる事故や被害が多発しています。その多くが被害を受けていること、または加害していることに自発的には気が付かないこと(クレジットカード会社や決済代行会社、消費者や特定団体等の第三者からの通報で発覚)が問題として挙げられます。特にWebサイト改ざんによる被害は、事業規模やサービス内容にかかわらず、自社においても対岸の火事として放置しておくことができません。自社におけるシステム管理上の不備や脆弱性をあらためてチェックし、手当てを施す必要がありますので、情報処理推進機構が紹介している以下の点検を是非ご参照ください。
情報処理推進機構(IPA)は、Webサイトへのサイバー攻撃が後を絶たない状況を踏まえ、ウェブサイト運営者および管理者に対し、システム上点検と基本的対策の実施を呼びかけています。
◆情報処理推進機構(IPA) 「ウェブサイトへのサイバー攻撃に備えた定期的な点検を」
【重点的に点検するポイント】
(1) 利用製品(プラグイン等追加の拡張機能も含む)の最新バージョンの確認
目的:脆弱性が解消された最新バージョンの公開を確認するため
対象:ウェブサーバー等のウェブシステム、ウェブサイト運用管理用PC
頻度:数週間~1ヶ月に1回程度
(2) ウェブサイト上のファイルの確認
目的:改ざん等されていないか確認するため
内容:ファイルのリスト(ファイル名、サイズ、更新日時、ハッシュ値(※)取得と比較
(※) データを特定するために、あるアルゴリズム(関数)から算出される値で、改ざん前と改ざん後の同一性の比較が可能。
頻度:1週間に1回程度
(3) ウェブアプリケーションのセキュリティ診断
目的:自社のウェブアプリケーションに脆弱性が存在しないか確認するため
対象:ウェブサーバー
頻度:1年に1回程度、および機能追加等の変更が行われた時
【基本的対策】
◆IPA「安全なウェブサイトの構築と運用管理に向けての16ヶ条~セキュリティ対策のチェックポイント~」
◆IPA「ウェブサイト改ざん対策に関するよくある相談と回答(FAQ)」
【その他参考情報】
2月1日に内閣サイバーセキュリティセンター(NISC)が公開した「情報セキュリティハンドブック」も参考になります。
◆内閣サイバーセキュリティセンター「情報セキュリティハンドブック」
「情報セキュリティハンドブック」は「ネットワークビギナー」向けとされており、企業、個人を問わず、セキュリティをわかりやすく理解できるようなハンドブックとなっています。内容は、いわゆる「サイバー攻撃」が、どういう手順を経て、誰が、どのように行うのかが解説されており、それに対してセキュリティソフトの導入や複雑なパスワードの設定などを指南しています。また、セキュリティ対策製品を導入するだけで”おざなり”になりがちなソーシャルエンジニアリングへの対処の心構えなども掲載されています。
ハンドブックはNISCのWebサイトで公開されているため、誰でもダウンロードができます。企業内でセキュリティリテラシーの底上げを図りたい場合、ハンドブックの配布や周知も検討いただければと思います。
その他、われわれの業務として、情報保護体制の運用実態診断・体制整備、脆弱性の抽出、漏洩対応体制整備を実践的に支援させていただいています。実効性のある個人情報保護管理体制、漏洩対応体制の構築・運用に向けた整備やサポートのご相談があれば、いつでもご連絡お待ちしております。
2.最近のトピックス
◆日本情報経済社会推進協会(JIPDEC) 「マイナンバーとプライバシーマークに関 する意識調査」を実施」
2016年1月に社会保険・税金などの行政手続きでマイナンバーの利用が始まりました。マイナンバーをめぐる個人情報の取り扱いに世間の関心が高まる中、個人情報を適切に取り扱う企業を認定する「プライバシーマーク制度」を推進している一般財団法人日本情報経済社会推進協会(JIPDEC)は、20代~60代の1000人(各年代男女それぞれ100人ずつ)を対象にマイナンバーとプライバシーマークに関する意識調査を行いました。
2月8日、9日にウェブアンケートを行った結果、全体の約4割の人が「マイナンバー制度に期待している」と答えたものの、8割以上の人が制度に不安を感じていることが分かります。また、7割近くの人が不安の理由に「個人情報が漏えいし、プライバシーが侵害される」ことを挙げています。
不安な要素については「個人情報が漏えいし、プライバシーが侵害される」と答えた人が全体の65.6%と一番多く、次いで「不正利用により”なりすまし”などの被害にあう」が51.1%です。また、58%の人が行政に対してマイナンバーの「セキュリティ対策強化」を求めていることも分かりました。
JIPDECはプライバシーマークの使用を認めた企業に向けて、マイナンバーも個人情報の一部として適切な管理を行うよう働きかけています。今後、プライバシーマークの有無が、マイナンバーも含めてすべての個人情報を適切に取り扱っている企業かどうかを判断する一つの判断材料となることが期待されます。
◆東京商工リサーチ 「社会保障・税番号(通称:マイナンバー)制度に関するアンケート」調査
東京商工リサーチは2月26日、「社会保障・税番号(通称:マイナンバー)制度に関するアンケート調査」の結果を発表しました。これによると、マイナンバー制度に対する認知は高まったものの、利活用が進んでいない実態が明らかになっています。
同調査は、2016年1月19日から1月29日にかけてインターネットによるアンケートを実施し、有効回答を得た7887社の回答を集計・分析したものです。
マイナンバー法の内容についてどの程度知っているかを聞いたところ、「概ね知っている、よく知っている」が5,046社(構成比64.0%)で約6割を占めており。これに「少し知っている」(2513社。同31.9%)を合わせると、「知っている」と回答したのは7,559社(同95.8%)あり、9割以上に認知されていることがわかっています。
また、自社にとってマイナンバー制度の一番のメリットは何かを聞いたところ、「メリットはない」が最多の5,881社(構成比74.6%)で約7割を占めた。これに、「情報管理の利便性向上」が637社(同8.1%)、「公平性が徹底される」が552社(同7.0%)と続いています。「メリットなし」は前回調査(同65.9%)より8.7ポイント増加しており、マイナンバー制度の導入とともに、メリットなしと判断した企業の比率が高まっている一方、「その他」の中には「まだ(社内で運用されていないから)わからない」「始まったばかりで、わからない」といった回答が145社あり、一部ではまだ把握できていないことも垣間見えます。
◆警察庁「平成27年中のインターネットバンキングに係る不正送金事犯の発生状況等について」
3月3日、警察庁は、2015年中のインターネットバンキング不正送金事犯の発生状況を公表しました。これによると、被害額は30億7,300万円と過去最悪という結果です。
2014年との比較では、発生件数は1,495件と、2014年の1,876件から減少しているものの、被害額は約29億1,000万円から30億7,300万円へと増加しています。法人被害額が増加し、とくに、信用金庫の法人口座被害が急増していることが特徴です。また、被害を受けた金融機関は223にのぼり、内訳は、都市銀行が16、地方銀行が53、信金・信組が115、農協・労金が39となっています。
被害の手口として、スマホ等にSMS(ショート・メッセージ・サービス)を送信して偽サイトに誘導するフィッシングを初めて確認されており、また、被害口座名義人の多くがセキュリティ対策を実施していないことが明らかになっています。たとえば、個人口座でワンタイムパスワードなどの対策をしていない利用者は75%、法人口座で電子証明書を利用していない利用者は67.8%にのぼるとのことです。
なお、被害額のうち、金融機関が未然に阻止するなどして、不正送金を阻止した金額は4億2,700万円で、実被害額は26億4,600万円です。
ちなみに、海外の事例では、2012年に「オペレーション・ハイ・ローラー」(ハイ・ローラーという言葉自体は「贅沢な暮らしをする人」や「むちゃな賭けをする人」という意味)という大規模な不正送金事件が起きました。このときの被害額は、ヨーロッパ全体で約60億円から約2,000億円といわれていますが、日本も近い将来、海外の被害レベルに追いつくかもしれません。
不正送金事件に係る手口としては大きく「フィッシングによるもの」「マルウェア感染によるもの」の2つに分けられます。
フィッシングは、ユーザーを偽サイトに誘導し、金融機関などのサイトにログインするID、パスワードや、送金などの重要な処理に必要な情報(予め配布されたカードに記載された「お客様情報」「第2認証」などと呼ばれる乱数表の数字など)を盗み出そうとする手口です。
【被害に遭うきっかけ】
(1)メール本文に記述されたURL
ユーザーがURLをクリックすると偽サイトや攻撃サイトに誘導される。
(2)メールの添付ファイル
ユーザーがファイルを開封するとマルウェアに感染する可能性がある。この際、マルウェア本体の実行ファイルが偽装されて添付されるパターンや、ソフトウェアの脆弱性をついた不正なコードが記述されたファイルが添付されるパターンなどがある。
(3)Webサイトの改ざん
ブランドがありユーザーがたくさん集まるサイトや、標的型攻撃などにおいて、ターゲットの行動パターンが調べられた結果、よくアクセスする傾向があるサイトなどが改ざんされ、マルウェアが仕掛けられる。
(4) (3)に関連して、正規のソフトウェアのアップデートサイトの改ざん
ソフトウェアの利用者をターゲットに、当該ソフトのアップデート機能を悪用してマルウェアに感染させようとする。
◆トレンドマイクロ 日本と海外の脅威動向を分析した「2015年年間セキュリティラウンドアップ」を公開
トレンドマイクロは2月29日、日本と海外の脅威動向を分析した報告書「2015年年間セキュリティラウンドアップ:情報と金銭を狙ったサイバー犯罪の矛先が法人に」を公開しました。
報告書によると、2015年は、「正規サイト汚染」により閲覧しただけで被害に遭う攻撃が、日本国内でも横行しているということです。国内利用者のアクセスが確認された脆弱性攻撃サイトへの誘導元は、85%が汚染されたサイト(不正広告:44%、Webサイト改ざん:41%)を経由していました。「不正広告」は、計7,000以上ものサイトで国内利用者を狙った表示が行われていたようです。なお改ざんされた国内サイトでは、古いCMS(サイト管理システム)を使っていたサイトが57%に上っています。
また、ランサムウェアやオンライン銀行詐欺ツールなど、「直接金銭を窃取しようとする不正プログラム」について、法人の被害が増加しており、国内法人において、ランサムウェアの被害報告件数は、前年比約16.3倍と大幅に増加しています。また、オンライン銀行詐欺ツールの検出台数は13,500台で、過去最高となっています。全世界規模で見ても、法人におけるランサムウェアの検出台数は、前年比約2.2倍の増加傾向にあるということがわかっています。
「標的型サイバー攻撃」も引き続き多数発生しており、トレンドマイクロによる国内企業向けネットワーク監視調査では、標的型サイバー攻撃特有の通信が、月平均20万件以上も確認されているようです。
3.最近の個人情報漏えい事故(2016年2月)
下記の表は、先月2月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 銀行 | 書類紛失 | 顧客の氏名や口座番号、取引金額などが含まれる本人確認資料の写しや債権差押え関連の書類など約9500件 | 誤廃棄の可能性 |
| 2 | 電力会社 | USBメモリ紛失 | 顧客の氏名や電話番号、住所、電気料金など約81万件 | 詳細不明。同社施設内での紛失。 |
| 3 | 市 | 名簿紛失 | 児童47人の名前や住所、電話番号などを記載した名簿 | 鞄ごと車上荒らしで盗難 |
| 4 | 市 | USBメモリ紛失 | 住民など約160人分の氏名や住所 | USBメモリが入った荷物を駅のホームに置いてトイレに行き、戻ると荷物がなくなっていたもの |
| 5 | 総合病院 | USBメモリ紛失 | 患者110人分の氏名や年齢のほか、検査結果や院内の会議資料など | 看護師がリポート作成のために患者情報をコピーして自宅に持ち帰り。 |
| 6 | 県立高校 | USBメモリ紛失 | 生徒30人分の氏名などが記載された手帳のほか、答案用紙やUSBメモリ3本 | バッグごと紛失 |
| 7 | 市 | マイナンバー交付ミス | マイナンバー、氏名、住所1名分 | 転入届を出した市民の個人情報が記載された確認票を、職員が誤って別人に渡したもの |
| 8 | 市 | 誤廃棄 | 福祉に関連する申請書など約2000枚 | 一般古紙と共にリサイクルボックスに持ち込み |
| 9 | 環境公社 | メール誤送信 | 13社分の担当者氏名やメールアドレス | 誤ってTOに設定み |
| 10 | 検定協会 | 書類紛失 | 11人分の氏名や性別、生年月日など | 試験監督者が答案用紙の入った段ボール箱を自転車の前かごに入れて運搬中、立ち寄ったコンビニの前で盗まれた |
| 11 | 労働局 | 書類紛失 | 受給者の住所や氏名、年金番号、口座番号などの文書1名分 | 誤廃棄の可能性 |
| 12 | 病院 | 書類紛失 | 手術を受けた患者1615人の氏名や年齢、病名など | 誤廃棄の可能性 |
| 13 | 電子楽器製造販売 | メール誤送信 | 顧客のメールアドレス301件 | 誤ってTOに設定 |
| 14 | 私立大学 | タブレット端末紛失 | 学生310人分の氏名や学籍番号 | |
| 15 | 区 | USBメモリ紛失 | 児童29人分の氏名や年齢 | 車上荒らしでバックごと盗難 |
| 16 | 農業振興公社 | 誤送付 | 契約者の住所や氏名、農地の所在地などが記載された書類199件 | 名簿の住所と氏名にずれによることが原因 |
| 17 | ボランティアセンター | メール誤送信 | メールアドレス66件 | 誤ってCcに設定 |
| 18 | 市 | USBメモリ紛失 | 児童159人の名簿など | 禁止されていた私物のUSBメモリを使用していた |
| 19 | 国税局 | 誤送付 | 別人の氏名と住所が記された所得税の確定申告書類400名分 | |
| 20 | 労働金庫 | 書類紛失 | 顧客2965人分の個人情報が記載されており、同金庫から融資を受けた顧客の氏名、住所、電話番号、生年月日、融資残高、保証履行に必要な項目など | 従業員が運搬用車両の荷台に鍵を掛け忘れて走行し、書類の保管箱5箱が落下した。そのうち3箱は未開封の状態で回収できたが、のこる2箱は収納された書類が飛散 |
| 21 | 通販サイト | 不正アクセス | クレジットカードの名義や番号、有効期限のほか、セキュリティコードやメールアドレス6432件 | クレジットカード情報が流出している可能性があるとの指摘を決済代行会社より受け、問題が発覚 |
| 22 | 信金 | 書類紛失 | 顧客情報993件含む書類 | 誤廃棄の可能性 |
| 23 | イベント | メール誤送信 | メールアドレス48件 | 誤ってCcに設定 |
| 24 | 市 | 誤送付 | 144名分の氏名や住所、電話番号、性別、生年月日、寄付金額など | 封入ミス |
| 25 | 市立小学校 | 誤公開 | 全校児童271人分の氏名や身長、体重、体力テストの結果など | 2が月間閲覧でいる状態にあった |
| 26 | 建築 | 誤送付 | 近隣住民の氏名や住所、電話番号など24人分の個人情報 | 個人情報が記載された名簿を誤って同封、配布 |
| 27 | 私立大学 | 誤公開 | 約4100人分の個人情報が一時、ネット上で本人以外でも閲覧できる状態 | システム不備 |
| 29 | 病院 | 書類紛失 | 手術を受けた患者の個人情報1615件が記載された書類 | 誤廃棄の可能性 |
| 30 | 県立高校 | ハードディスク紛失 | 生徒241人の名簿やセクハラ・体罰の相談を寄せた9人の名前 | |
| 31 | 県 | 誤公開 | 患者379人分の氏名や電子カルテの患者IDのほか、共同利用する高額医療機器や、機器を共同利用して検査した日 | |
| 32 | スポーツイベントサービス | 誤公開 | ハンドルネームや性別、生年月日、居住都道府県など会員が任意で登録したプレイヤー情報4157件。そのうち2779件はメールアドレス | |
| 33 | スポーツイベントサービス | 誤公開 | システム不備 | |
| 34 | 府立高校 | 書類紛失 |
33 府立高校 生徒の名前や住所、生年月日といった個人情報のほか、指導記録や生徒側が学校に配慮を望むことなどが記載されていた660人分の生徒指導カード |
今年2月も私物USBメモリの業務利用による紛失の事故が多発しています。企業側として、従業員の私用のUSBメモリやスマホの業務利用については、効率化やコスト削減のため、推奨または黙認されるケースもありますが、会社が関知しない(できない)ところでの重要情報の持出しやセキュリティリスクに十分留意する必要があります。従業員のプライベートデータと業務用データの混在は、紛失や盗難時の被害特定に時間を要しますし、業務外でどのような使われ方がされているのかを完全にチェックすることができません。また、退職する際に、会社の営業秘密や社内データをスマホ端末に入れまま持ち出されてしまう可能性があります。その他にも、スマホによる個人用クラウドサービスを利用は、不正に取得された際の証拠が残りにくく、情報漏えいなどのトラブルを発生させる温床になりやすいと言えます。
いずれにしても、業務で利用しているUSBメモリやスマホ端末を紛失した際は、管理者や上長にすぐに連絡して、指示を仰ぐなどの対応をしましょう。なお、携帯電話・スマホに保存された個人情報を目的として、廃棄された端末を売買するといった事例も発生しています。携帯電話やスマホを廃棄する際には、必ず登録されているアドレス帳や電子メールなどの個人情報を、確実に消去してから廃棄するよう注意が必要です。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
