情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
【もくじ】
1)過去の教訓
2)情報セキュリティに対する経営者の関与、組織的な取り組みについて
3)攻撃や事故を前提とした対策
1.情報セキュリティの取り組みと今後の課題
1) 過去の教訓
今やほとんどの企業が何かしら取り組んでいるはずのセキュリティ対策ですが、そのような努力にもかかわらず、実際に事故は減ってはいません。マイナンバー制度の導入、スマートフォン(スマホ)やタブレット端末などのマルチデバイス化、クラウドサービスの拡大、ビッグデータやIoTの活用など、今後も企業をとりまくIT環境は確実に変化していきます。そのような中、セキュリティ対策において鍵を握るのが、いかに組織的な目線で安全なIT利用と保護ができるかどうかではないでしょうか。
特にサイバー攻撃者は、企業や組織よりもセキュリティインフラの構造上。優位な立場にあります。攻撃者は防御側にあるセキュリティホールを一つ見つければ、そこから様々な攻撃の手口を仕掛けられるのに対して、防御側は、全てのセキュリティホールを把握し対策を取ることが必要となりますが、これは事実上不可能です。
例えば、度々取り上げている日本年金機構での事故は標的型メールが攻撃の侵入口です。標的型メールは、繰り返し似たようなレベルの内容が届くスパムメールとは異なり、一様にフィルタリングできるものではありません。
2013年度中に内閣サイバーセキュリティセンター(NISC)が行った標的型メール攻撃訓練では 18府省庁の対象者約18万人のうち、1割がメールを開いたことが報告されています。つまり組織の中で10人のうち 1人は開いてしまうという計算になります。組織の業務に直接関連した件名の使用や取引のある組織からのメール送信と思い込ませる偽装など、攻撃者は失敗した攻撃から学び、また新たに得た情報を利用して標的型メールを巧妙化させています。
日本年金機構の情報管理体制や運用上の問題点も指摘されている通りですが、業務でパソコンを利用し、メールやインターネットに接続できる環境があれば、ウィルス対策や、システムに対する脆弱性対策をしていたとしても、どの企業も同様の攻撃を受け、踏み台にされしまう可能性・危険性があるということを十分認識する必要があります。
さらに、攻撃側の巧妙さが増すことによって、受信者がだまされる可能性も高まります。そもそも利用者に攻撃メールが届かないよう、システム的な不審メールのフィルタリングによる対策を行うことは、当然ながら不可欠なことです。ここでは、標的型メールに添付されているファイル、あるいはリンクからダウンロードされるファイルが行う通信や挙動をシミュレーションすることで不正なメールであることを検知できる対策が必要です。
さらに加えて、侵入の発生を前提とした対策の考え方も必要となります。入口ですべての侵入を防ぐことは理想ですが、すべてにおいて万全の対策は無い以上、出口と内部での多層防御が重要になると言えます。
ベネッセコーポレーションでの内部関係者の情報持ち出しや、日本年金機構への不正アクセス、今後さらに増加するであろう多様なサイバー攻撃を踏まえ、企業はセキュリティ態勢をどう整えてきたか、どう整えていくのか、あらためて問われる時期にあります。
2) 情報セキュリティに対する経営者の関与、組織的な取り組みについて
5月10日、IPA(情報処理推進機構)は「企業のCISOやCSIRTに関する実態調査2016」を公開しました。本調査では企業経営者の情報セキュリティに対する関与、組織的な対策について、日・米・欧の従業員300人以上の企業を対象にアンケートやヒアリングを実施し、その結果が比較されています。調査対象は、日・米・欧の従業員数300人以上の企業のCISO(Chief Information Security Officer)、情報システム/セキュリティ担当部門の責任者、担当者に対し行われています。
▼情報処理推進機構「情報セキュリティに対する経営者の関与、組織的な取り組みについて日・米・欧で比較調査」
調査の結果では、まずCISOが経営層として任命されている場合、情報セキュリティ対策の実施率は高くなっていることがわかり、この傾向に日・米・欧の差異はないという結果が得られています。また、CSIRT(Computer Security Incident Response Team)(※)が「期待したレベルを満たしている」と回答した割合は米国45.3%、欧州48.8%に対し、日本は14%となり、欧米の3分の1と大きく差が開く結果となっています。
その他にも、日本はCSIRTなどの有効性を左右する最大の要素として「能力・スキルのある人員の確保」と回答した割合が73.3%と最多で、米国56.8%や欧州54.2%と比べ2割程度多くなっています。情報セキュリティを実効する人材のスキルや知識面が十分であると回答した日本の企業は25.2%であり、米国54.3%や欧州61.9%の半分以下という結果となっています。
(※)CSIRT:
(Computer Security Incident Response Team)の略で、組織内の情報セキュリティ問題を専門に扱う、インシデント対応チームやコンピュータシステムやネットワークに保安上の問題に繋がる事象が発生した際に対応する組織を指す。社内の情報システムや通信ネットワークで、ウィルス感染や不正アクセス、サービス拒否攻撃(DoS攻撃)などセキュリティ上の脅威となる現象や行為が発生した際に、組織内の対応窓口となって被害の拡大防止や関連情報の収集・告知、再発防止策の策定などの活動を行う。
また、外部のCSIRTと連携して事件・事故の被害情報やシステムの脆弱性についての情報を共有したり、一般利用者へ情報セキュリティに関する教育や啓発、広報などの活動を行うこともある。大組織では常設の機関として専任の人員を置く場合もあるが、普段は情報システム関連の業務を行なうスタッフが事象発生時に集まって対応するという形態もある。
近年、セキュリティ人材不足が指摘されていますが、同調査においても、半数以上の企業がセキュリティ人材を管轄する最高情報セキュリティ責任者等が未設置であることが明らかになっています。特に日本では、情報セキュリティにかかわる人材の育成や、緊急時対応や体制構築のために実効性のある要員の確保が喫緊の課題であるといえます。
企業はセキュリティ統括者を配置して情報セキュリティ全体を管理し、経営層とコミュニケーションできる人材を充てる必要があります。
その他、直近の会計年度にサイバー攻撃が発生していない(多くの事故や不祥事は、第三者からの通報や被害者からの報告で、はじめて発覚するということを認識する必要があります。自社の脆弱性や不備に気づいていない、もしくは放置されていることも極めて大きなリスクです。)と回答した日米欧の企業は50%以上であり、不正アクセスのなどのサイバー攻撃を受けた経験はなく、多くのCSIRTで実績や実力は未知数だと言えます。また、設置されているCSIRTなどインシデント対応組織で訓練や演習を実施していると回答したのは日本で33.4%、米国39.3%、欧州34.7%と、日米欧とも6割近くが実施していないことが分かっています。新たなサイバー攻撃に直面することに備え、定期・不定期での訓練・演習を実施し、有事に際にCSIRTが機能するか確認し、課題を把握しておくことが望まれます。
3) 攻撃や事故を前提とした対策
情報セキュリティの分野におけるインシデントとは、コンピューターやネットワークのセキュリティを脅かす事象、すなわち、ウィルス感染や不正アクセス、不正侵入、データの改ざん、情報漏えいなどを指し、意図的であるか偶発的であるかを問いません。インシデントレスポンスは、上記インシデントに対し、主に原因の調査や対応策の検討、サービス復旧や再発防止策の実施などの対応を適切に行うことです。最近は、サイバー攻撃が増加傾向にあり、その範囲も広範にわたっています。こうした状況下で、セキュリティ対策を万全に施していたとしても、すべてのインシデントを未然に防ぐことは不可能です。
そこで、インシデントが万が一発生した場合に迅速に対応し、被害の拡大を最小限にするための事後対応が求められます。特に、標的型攻撃などのように、特定のターゲットに対し、周到に、時間をかけて準備され、継続的に実行されるサイバー攻撃などに対応していくためには、常にメンバーや組織内で知識を共有し、事故を前提としたポリシー策定や手順を確立しておくことが重要です。
実際にサイバー攻撃が行なわれると、インシデントの発生するタイミングや攻撃の種類は攻撃者が選択するため、システムの管理者側では予測することが困難です。管理者側の知識や技術が不足している場合や、チーム編成の不備、準備や訓練が十分に行なわれていない、見積りが甘い、などの理由により攻撃を防ぎきることができない可能性があります。
また、標的となるのは、その多くが一般社員であり、十分な知識等をもっていない場合も少なくありません。そのためには、標的型攻撃の訓練や演習、アンケートを通じて、自社内でそのリスク(開封状況)を把握することも重要です。演習や研修、注意喚起を繰り返すことで問題点を抽出し、それを改善するとともに、インシデントの処理になれておくことで、組織全体でのサイバー攻撃への対応力を向上させることが、被害の拡大を未然に防ぐ意味でも重要だと言えます。
2014年11月の「サイバーセキュリティ基本法」の成立以降、各省庁によるサイバーセキュリティ関連の取組みについて公表が続いています。総務省による「サイバーセキュリティ政策推進に関する提言」(2015年5月22日)や、金融庁の「金融分野におけるサイバーセキュリティ強化に向けた取組方針」(2015年7月2日)に続き、2015年12月28日には経済産業省より「サイバーセキュリティ経営ガイドライン」が発表されました。
同ガイドラインは、 大企業及び中小企業(小規模事業者除く)のうち、ITに関するシステムやサービスなどを供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するために策定されています。サイバー攻撃から企業を守るという観点で、経営者が認識する必要のある「3原則」、および経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」がまとめられていますので、ご参照ください。
これまでは、顧客や取引先、消費者に対して対外的に「この対策をしているから、うちの会社のセキュリティ対策は万全ですよ」と言えるような明確かつ客観的な基準がありませんでしたが、今後、企業や組織にとって同ガイドラインが定める基準が、今後情報セキュリティ対策実施の「最低基準」となるということです。
同ガイドラインでは、上記を踏まえた上で、”経営者”が”セキュリティリスクの脅威を認識し”、”経営者”が”対策の実施を推進すべきだ”と明記しています。つまり、”セキュリティ対策は経営者が率先して取り組むべきリスク事項である”ということが明確にされているのです。
2.最近のトピックス
◆経済産業省「情報セキュリティ管理基準(平成28年改正版)を策定しました」
経済産業省は、情報セキュリティマネジメントの国際規格「ISO 27001」「同27002」が改正されたことを受け、2016年改正版の「情報セキュリティ管理基準」を策定しました。
同基準は、組織体が効果的な情報セキュリティマネジメント体制を構築し、適切な管理策を整備、運用できるよう、同省が2003年に実践的な規範として策定したものです。
改正後の同基準は、ISOの改正に沿った内容で、有識者やパブリックコメントで寄せられた意見などを踏まえて策定されています。詳細については、次回以降の「情報セキュリティトピックス」で触れたいと思います。
◆日本情報経済社会推進協会(JIPDEC) 「マイナンバーとプライバシーマークに関する意識調査」を実施
一般財団法人日本情報経済社会推進協会(JIPDEC)は3月3日、「マイナンバーとプライバシーマークに関する意識調査」の結果を発表しました。本調査は2月8日~9日、20代~60代の5階層における男女各100名を対象に、Webアンケートにより実施したものです。調査結果によると、回答者の約4割がマイナンバー制度に「期待している」と答え、そのうち8割以上(全体の34.2%)は「期待しているが不安もある」と回答しています。
その不安についての回答は「個人情報が漏えいし、プライバシーが侵害される」が65.6%を占めています。また、マイナンバー制度の開始によって、企業の個人情報の取り扱いが「今まで以上に気になる」と約50%が回答しています。なお、マイナンバーの通知カードではなく個人番号カードを申請したのは14.4%にとどまっており、JIPDECではプライバシーマーク制度を推進していることから、今回の調査結果を制度運営に活かすとしています。
◆警察庁「平成27年におけるサイバー空間をめぐる脅威の情勢について」
警察庁は、3月17日、サイバー攻撃等の状況をまとめた「平成27年におけるサイバー空間をめぐる脅威の情勢について」を公開しました。本調査によると、サイバー攻撃の情勢について、平成27年は、日本年金機構をはじめとする多数の機関や事業者等で情報窃取等の被害が発生しており、警察が連携事業者等から報告を受けたものだけで3,828件の標的型メール攻撃が発生しているとしています。
また、標的型メール攻撃の送信先は、インターネット上で公開されていない「非公開の」メールアドレスが全体の89%を占めており、攻撃者が攻撃対象の組織や職員について事前に周到に調査し、準備を行った上で攻撃していることがうかがえます。その他にも、送信元アドレスは、攻撃対象の事業者を騙るものなど、偽装されたアドレスが全体の77%を占めていることがわかります。
そして、標的型攻撃メールに添付されたファイルは、Word文書が添付されたものが前年の2%から53%に大幅に増加しており、添付ファイルを開くと、情報窃取等を行うウィルスが自動的にダウンロードされ、パソコンに感染する手口が確認されています。
一方、不特定多数にメールを送りつける「ばらまき型」攻撃も引き続き多数発生しており、平成27年には3,508件が確認されています。その多くは、品物の発送代金の請求等の業務上の連絡を装ったものだったということです。
警察庁では、メールを用いたサイバー攻撃の傾向を踏まえた対策として、「不審なメールを安易に開封しない」「端末やサーバーに導入しているOSや各種ソフトウェアを最新の状態に維持する」「送信元メールアドレスを詐称する手口への対策として、電子メールの送信元ドメインが詐称されていないかを検査するための仕組みなどの、ドメイン認証技術を導入すること」などを挙げている。
今年度においても、標的型攻撃への注意喚起と備えが引き続き必要になります。人の注意だけで騙しを完全に防ぐことは非常に困難ですが、一方で、実際の攻撃を見てみると、注意すれば不審な点に気づける攻撃が多いことも事実です。典型的な手口を知ることや訓練などして攻撃に備え、多層的な防御策の一つとして、情報を取り扱う「人」の注意力を高める努力を怠らないことが肝心です。
◆個人情報保護委員会「マイナンバー(個人番号)ヒヤリハットコーナー」
個人情報保護委員会は、「マイナンバーヒヤリハットコーナー」を開設し、マイナンバー関連でトラブルへ発展する可能性のある事例について情報提供を行っています。マイナンバーが漏洩する可能性があった「ヒヤリハット」の事例のほか、企業と従業員間でトラブルに発展しうる事例について取りまとめられています。
「トラブル」が予想される事例としては、マイナンバーの安全管理措置について勤務先に問い合わせたところ、委託業者に問い合わせるよう言われたが、委託先が回答しないケースなどを紹介しています。さらにクラウド上でマイナンバーが保管するものの、事故発生時の責任が不明確なケース、勤務先からマイナンバーの提供を求められ、難色を示したら解雇すると言われたケースなどを「転ばぬ先の事例集」としてまとめられているので、ご参照ください。
- 住民票(写)の「個人番号」欄に記載されている番号が、マイナンバー(個人番号)であることを知らずに、住宅ローンの申込みのために金融機関に提出しようとした
- 個人ローンの申込のため、金融機関から住民票(写)の提出を求められ、マイナンバー(個人番号)の記載された住民票(写)の交付を申し込んでしまった
- 人事異動があったので「従業員名簿」を修正し、社内の電子掲示板に掲示しようとしたところ、誤って同じフォルダに保存していた「個人番号管理簿」を掲示しそうになった
- 財布を紛失したため、拾得物カウンターに遺失物届を出す際、財布の内容物を確認され、個人番号の通知カードが入っていたため、遺失物として「通知カード」と記載し、あわせて個人番号を記載しそうになった
- 個人番号が記入された書類を施錠できるキャビネットに保管していたが、書類を整理せずに積み重ねていたため、年度末の文書廃棄の際、廃棄する書類と一緒に捨ててしまいそうになった
3.最近の個人情報漏えい事故(2016年3月、4月)
下記の表は、今年3月と4月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 県立高校 | 書類紛失 | 卒業した23人の住所や氏名などを記載した「卒業生名簿原稿」23枚 | 無施錠での保管 |
| 2 | 保険福祉事務所 | 書類紛失 | 生活保護の相談に来た計32人分の名前や住所、収入を含むノート | 喫煙所に鞄を置いたままトイレに入り、数分後に戻ってきたところ、鞄がなくなっていた |
| 3 | 市 | 書類紛失 | 新生児95人の名前や住所などが書かれたノートやスケジュール帳など | 車上荒らし |
| 4 | 地方銀行 | 書類紛失 | 顧客の氏名や住所、口座番号、印影など約4800件 | 誤廃棄の可能性 |
| 5 | 労働局 | 書類紛失 | 就職が決まった55人の氏名や住所のほか、学歴や資格、直近の勤務先など | 誤廃棄の可能性 |
| 6 | 市立小学校 | 書類紛失 | 1クラス23人分の児童の氏名や学年のほか、保護者の氏名や住所、勤め先電話番号など | |
| 7 | ビル管理・運営 | メール誤送信 | 17件のメールアドレス | 誤って宛先欄にアドレスを入力 |
| 8 | 区立小学校 | USBメモリ紛失 | 生徒84人分の氏名や試験結果、前期の成績など | 教諭が自宅で成績処理の業務を行うためUSBメモリを持ち出し |
| 9 | 私立中学校 | 書類紛失 | 入学予定だった児童56人分の氏名とクラス編成が記載 | |
| 10 | 県 | メール誤送信 | 85人分のメールアドレス | 誤って宛先欄にアドレスを入力 |
| 11 | 市立中学校 | USBメモリ紛失 | 卒業生67人分の名前や成績などが保存 | 誤って宛先欄にアドレスを入力 |
| 12 | 信用金庫 | 書類紛失 | 顧客の名前や住所などを含む預金口座振替依頼書約6300枚 | 誤廃棄の可能性 |
| 13 | 私立大学 | 書類紛失 | 学生15人分の氏名や性別、生年月日のほか、健康診断の結果などが記載 | |
| 14 | 検定関連の協会 | メール誤送信 | 91社分のメールアドレス | 誤って宛先欄にアドレスを入力 |
| 15 | 市立中学校 | USBメモリ紛失 | 生徒や卒業生約250人の名簿など | 同教諭が学校のサーバーからデータをUSBメモリに移し、授業後、ズボンのポケットに入れたことを忘れて帰宅 |
| 16 | 区 | メール誤送信 | 施設利用者37人の氏名や住所、年齢のほか、障害の情報 | 関係のない第三者へ誤送信 |
| 17 | 労働局 | 書類紛失 | 15人分の個人名やそれぞれが所有する資格などの情報 | 同労働局管内で起きた漏洩事故は本年度に入って6件目で、同局では、基本的な確認作業が不十分であり、同様のミスがないよう、対策を強化するとしている |
| 18 | 私立幼稚園 | USBメモリ紛失 | 園児の名前や健康状態など218人分のほか、避難訓練時の写真などが保存 | 自転車で帰宅途中に紛失 |
| 19 | 道路・インフラ | メール誤送信 | 高速道路建設予定地の補償に関する個人情報15人分 | 過去にやりとりがあった一般の第三者のアドレスを追加して送信 |
| 20 | 私立保育園 | USBメモリ紛失 | 園児28人の氏名や写真など | |
| 21 | 町 | 書類紛失 | 健康増進教室の参加登録者30人分の住所や電話番号などを記載した名簿 | |
| 22 | 国立大学 | ノートPC紛失 | 学生の氏名や住所、電話番号、メールアドレスなど | 出張中に鞄ごと盗難 |
| 23 | スポーツ用品 | メール誤送信 | 約3000人のメールアドレス | 誤って「Cc」にアドレスを入力難 |
| 24 | ガス | 誤送付 | 約300件分の宛名 別の顧客の氏名を印字し送付 | |
| 25 | 市立小学校 | 書類紛失 | 児童33人分の氏名とテスト結果などを含む記録用紙を綴じていたファイル | |
| 26 | 大学付属病院 | USBメモリ紛失 | 患者283人の氏名や年齢、検査所見など | |
| 27 | 市 | メール誤送信 | 「Bcc」ではなく「Cc」で一斉送信したため | |
| 28 | 県立大学 | デジタル機器紛失 | 学生や教員計154人分の名前や電話番号など | |
| 29 | Webサービス | 不正アクセス | 1000人の氏名、電話番号、生年月日、性別など | SQLインジェクションの脆弱性 |
| 30 | ネットマーケット支援 | 不正アクセス | 顧客1106人の個人情報。氏名や住所、クレジットカードの番号、有効期限など | |
| 31 | 病院 | 携帯電話紛失 | 取引先企業の連絡先約50件 | |
| 32 | 菓子・飲料サイト | 不正アクセス | 氏名や住所、電話番号、メールアドレス、届け先情報、家族情報のほか、4万3744件に関してはクレジットカードの名義や番号、有効期限 | |
| 33 | 不動産仲介 | 書類紛失 | 分譲マンションに関する顧客23人分の氏名や年齢、勤務先名などを記載した書類 | 従業員が業務後に立ち寄った飲食店で鞄を店に預けたが、店側が誤ってほかの客に鞄を渡し、所在不明に |
| 34 | レストラン・カフェ運営 | USBメモリ紛失 | 顧客の氏名や住所、電話番号、メールアドレス、誕生日、会社名、役職など含む約1万5000件の個人情報が保存 | |
| 35 | 警察 | ノート紛失 | 取り扱い事案関係者の個人情報などが書かれたノート1冊 | 車のトランク上に置いたまま発進 |
| 37 | 病院 | USBメモリ紛失 | 過去、患者の個人情報を記録したUSBメモリーの紛失など21件 | 事実をこれまで公表せず |
| 38 | サイト運営 | メール誤送信 | メールアドレス827件 | 「Bcc」ではなく「Cc」で一斉送信したため |
| 39 | 介護サービス | 不正アクセス | 不明 | |
| 40 | 県 | 書類紛失 | 納税者の氏名や住所、納税額が記載された納税証明書の写しなど5件 | 職員が業務について再確認するための参考資料として、過去に窓口で発行された納税証明書の写しなどを無断で事務所から持ち出したが、移動途中で所在がわからなくなった |
| 41 | 県 | 不正アクセス | サイトに問い合わせを行った285人の氏名やメールアドレスのほか、任意で登録した住所や電話番号 | |
| 42 | 私立大学 | メール誤送信 | 誤って学生8人の個人情報含む文書 | 誤って別のファイルを添付 |
| 43 | 市 | メール誤送信 | メールアドレスと氏名計658件 | 誤って宛先欄にアドレスを入力 |
| 44 | 通販 | 不正アクセス | クレジットカード決済を利用した顧客情報744件 | |
| 45 | フォントメーカー | メール誤送信 | 顧客の氏名やメールアドレス3532件 | プログラムミス |
| 47 | インフラ・輸送 | 不正アクセス | 同サイトには会員53人分の個人情報が含まれていた | |
| 48 | 市立中学校 | 書類紛失 | 児童56人分の個人情報が記載された書類 | |
| 49 | 通販 | 不正アクセス | 最大19万9709件の顧客情報が流出していた可能性 | |
| 50 | エネルギー | パソコン盗難 | 不動産販売の顧客データ8495件が保存されていたという。氏名や住所、電話番号、販売した不動産の所在地など | 窓ガラスが割られて何者かが侵入し、空き巣被害 |
| 51 | 県立高校 | パソコン盗難 | SNS転載 退学者2人の氏名や学年、クラス、出席番号、および転学者2人の氏名や転出先学校名などの情報が印刷された資料 | カメラで撮影したものが、拡散 |
| 52 | テレビ・放送 | 不正アクセス | 番組への意見などを書き込むフォームに入力された視聴者らの氏名、住所、電話番号、メールアドレスなど約43万件 | |
| 53 | ラジオ局 | 不正アクセス | 名前や住所、メールアドレス、電話番号など約64万件 | |
| 54 | 港湾局 | メール誤送信 | 443人のメールアドレス | 誤って宛先欄にアドレスを入力 |
| 55 | 居酒屋 | 書類盗難 | フランチャイズ店運営会社の社員やアルバイト計430人の個人情報が書かれた書類。(マイナンバー含む扶養控除申告書もあり) | 車上荒らしで盗難 |
| 56 | 銀行 | 書類紛失 | カードローンの申込書や解約依頼書、完済済みの金銭消費貸借契約証書など | 誤廃棄の可能性 |
3月、4月の事故の傾向として、メールの誤送信が多く発生しています。(事案番号:「7」、「10」、「14」、「16」、「19」、「23」、「27」、「38」、「42」、「43」、「45」、「54」)
事故の要因としては、システムの不具合によるものもあれば、ToとCc、Bccの誤認識、打ち間違え等によるうっかりミスや不注意等の多様な形態があります。その他よくありがちなパターンとしては、メールの転送と返信を間違えてしまったり、オートコンプリート(候補表示)で宛先を間違えてしまうこともあります。また、電子メール送信時は、誤送信しても送信者自身がその事態に気づかないことが多いことも大きな特徴です。
メールアドレス一つだけでも、個人情報に該当するケースが多く、誤送信事故が発生すれば企業として管理体制や対応の質が問われることになります。さらに、メールアドレスだけではなく、社外秘の内容や機密情報といった営業秘密や機微な情報が添付もしくは記載されていれば、それだけで企業にとって極めて重大な事故に発展しかねません。
電子メールは今や業務に欠かせない重要な情報通信手段であると同時に、未だに事故が多く発生しています。電子メールの誤送信対策としては、システム的な施策(送信前の承認や自動暗号化等)以外にも、人的な脆弱性を克服していくためにも、各自が電子メールを送信する際に宛先、送信内容、同報送信の種類、添付ファイルを十分確認するプロセスについて、あらためて(何度でも)注意喚起し続ける必要があります。
【よくあるケース】
- 社内宛てのメールを同姓の他企業の人に送信してしまった。
- 他社向けの提案資料や見積りファイルを間違えて添付してしまった(しかもファイルパスワードや暗号化設定なし)。
- メールアドレスを、Bcc ではなく To/Cc に設定したため、同報している全員に宛先情報を公開してしまった。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
