情報漏洩

近年、ITの発展により情報のデータ化管理の問題が急増しています。インターネットという 自由の名を持つ情報網によって、悪質な犯罪が生まれるようになりました。企業側としては、大量の顧客データをデータベース化して管理し、それぞれの状況に合わせて利用することが出来るようになりました。データ化された情報はインターネットを通じてネットワークで繋がり、より詳細な個人情報が蓄積されるようになりました。そして、デジタルデータ化された情報は簡単にコピーされ、ネットワークを通じて外部に送信が鉛能になりました。大量のデータが一瞬にして流出してしまうのです。それによって2003年にあたりから個人情報の流出や漏洩といった記事が、新聞やメディアを騒がせるようになりました。では、なぜ情報漏洩と言う問題がおこるのでしょうか？ 情報漏洩の最大の原因は、何よりも情報管理の甘さにあると言ってよいでしょう。

情報漏洩の考えられる原因

管理していた情報データを持ち出されてしまう場合

紙ベースで管理していた情報が、デジタルデータに変わったことにより通信や、ＣＤやフロッピー等を利用すれば大きな情報量が簡単で手軽に、伝達が可能になった為。

インターネット上からアクセスされて、情報データが漏洩してしまう場合

セキュリティの設定に問題があったり、システムの不具合を見落としていたり、ひどい場合はパスワードの設定がなされていないことなどによって、外部に情報が流出してしまいます。

情報管理における内部の管理・監視体制の不備及び未構築

セキュリティー対策とは外部からだけではありません、情報漏洩の８５％以上は内部からです。「顧客情報は売れる」とアルバイト感覚で社員から外部への流出がほとんどです。

上のどれもが、セキュリティの強化を怠った為におこるのです。 そして、個人情報の流出や情報漏洩がおこっていることすら、外部から言われて初めて気がつくことも少なくありません。実際に情報を管理している側では、何ら気付いていないこともあるのです。以前のように、紙ベースで管理されていたデータならば回収をすることも出来ましたが、現在のようなデータ情報では漏洩してしまったデータは、ほぼ回収が不可能と言えます。 情報漏洩によって企業が経営上の不利益を被る額は莫大なものです。 企業の社会的信用の失墜のみならず、企業の利益の損失や賠償責任による費用など。

しかし、内部の管理・監視体制の強化をすることや、監視していることの告知等により、監視・管理だけでなく、内部の人員の意識の向上や見られてるかもしれないという、無言の抑制力を機能させることも十分必要と思われ、こういった対策はトラブルの未然の防止にもなりうるため、企業側がセキュリティ問題について取り組んでいく必要があるでしょう。

個人情報保護法とは

2005年４月から「個人情報保護法」が施行され、下記のように記述されています。個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、個人情報を取り扱う者は、以下の原則にのっとり、個人情報の適正な取扱いに努めなければならない。

1. 利用目的による制限…
   個人情報は、その利用目的が明確にされるとともに、当該利用目的の達成に必要な範囲内で取り扱われること。
2. 適正な方法による取得…
   個人情報は、適法かつ適正な方法によって取得されること。
3. 内容の正確性の確保…
   個人情報は、その利用目的の達成に必要な範囲内において正確かつ最新の内容に保たれること。
4. 安全保護措置の実施…
   個人情報は、適切な安全保護措置を講じた上で取り扱われること。
5. 透明性の確保…
   個人情報の取扱いに関しては、本人が適切に関与し得るなどの必要な透明性が確保されること。

では、「個人情報」とはどのような事を言うのでしょうか？
個人保護法での「個人情報」とは次のように記述されています。「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それによって当該個人を識別できるものを含む）」その情報で、個人を特定できる氏名はもちろん、画像や音声などのように、他の情報と比較することにより個人を特定できるものも含まれるのです。顧客情報のみならず、社員の評価なども個人情報に含まれると考えられます。

「個人情報保護法」によって、企業を取り巻く状況はどのように変わってくるのでしょうか？

企業はいろいろな義務と責任を負うことになり、違反すると行政処分が下され、場合によっては罰則が科せられるようになります。具体的に企業が置かれる状況としては、情報漏洩に対応するためのコストの負担が強いられるようになります。 また、個人情報の転売が禁止されることによって、マーケティングに支障をきたすこともあるでしょう。しかし、情報管理がしっかりとなされていない企業は、いずれ信用を失います。情報漏洩がおこった場合は賠償金の負担などにより、企業の存続さえ危ぶまれることにもなりかねません。それ程、個人情報の管理と言うものが大切になってくるのです。

しかし、企業で情報漏洩に対する備えが不十分であるところが多いのが現実です。情報漏洩の防止に対するセキュリティ強化に投資するよりも、企業の生産性を上げることや普段の業務に重点を置いてしまっているからです。

企業としての信用を失墜しないためにも、社員や顧客データの個人情報を預かっている管理者としての意識を忘れず、経営管理をしていくべきです。

情報漏洩の原因

国内企業のセキュリティ対策は、ある調査によるとシステムの対策は約９割の会社が行っており、制度的な対策については約７割の企業で実施されているとの結果が出ています。しかし、社員など人に対する対策は、約半数にも満たないとのことです。この様な状況の中で、情報漏洩を100％防ぐことは、不可能に近いと言えます。では、どうすれば情報漏洩による被害を最小限に抑えることが出来るのでしょうか。

その為には、情報漏洩がおこることを前提としたセキュリティの強化が重要になってきます。それには、２つのセキュリティに対する考え方が必要となります。

情報漏洩の８５％以上は内部からという驚愕のデータ

セキュリティー対策とは、ハッカーであったりウイルスであったり、建物への侵入への強化等の対策をして万全だと勘違いをしている人たちが決して少数ではない今の現実では昨今の複数の企業による顧客データの流失事件は起こるべきして起こった事件といえます。

なぜなら、情報漏洩は外部からの侵入者ではなく内部からがほとんどを占めているにもかかわらず、外部への対策をもって万全と勘違いをし内部からの情報流失に対する危機管理不足から刑事事件に発展するだけでなく、顧客信用の失墜や、業務の自粛、売上の減少、ブランドイメージの失墜等、失ったものを回復するには莫大な費用と時間と社内体制の大きな変革を余儀なくされます、「うちに限ってそんな事はありえない」この考え方がもっとも危険です、一度内部の管理体制を見直し、監視を行なっていく事は、保険と同じです、何かあってからでは遅いのです。

社員の責任意識の向上が重要

どんなに立派なシステムを導入しても、人の意識が低ければ何もなりません。社員によって内部からデータが流出したり、下請け企業からの情報漏洩を防ぐ必要があります。実際、情報漏洩の事件の犯人は多くが社員や派遣社員・下請け業者や委託会社社員であり。また、流出経路が不明であったりアクセス記録が残っていなかったりして、犯人がわからないことも少なくないのです。ですから、経営者自身がセキュリティの重要性を認識し、管理職のみならず全社員に対するセキュリティ意識の向上を図ることが、とても重要になってきます。

上記以外の情報漏洩の経路として、パソコンを処分する際の業務委託者からの漏洩という事もあります。データをごみ箱に捨て、ごみ箱を空にしただけではデータが消えるわけではないという事は、もちろんご存知だと思います。しかし、ハードディスクを初期化したらデータが完全に消えてしまうと思っていませんか。初期化したハードディスクからでも、復元ソフトを使えば復元が可能なのです。データの完全消去がなされないままに処分されたパソコンから情報データが抜き出され、情報が売買される場合もあるのです。

報漏洩のリスク

個人においても企業においても、情報漏洩を防ぐための管理能力が問われる時代になってきています。情報漏洩でデータが外部に流出してしまうことによって、企業はどのようなダメージを受けるのか考えてみましょう。

取引先や顧客に対する信用の失墜

情報漏洩の事件となると、マスコミで取り沙汰されます。ずさんな情報管理が社会に暴かれ、企業としての管理能力を問われることになり、社会的信用が失われます。それのみならず民間企業の場合など、消費者の抱いてしまう悪いイメージは簡単には拭い去ることは出来ません。そこの企業の商品は購入しなくなるなど、営業活動に多大な悪影響を及ぼします。営業自粛に追い込まれた場合など、利益の損失は深刻なダメージとなってその企業を脅かします。そして、一度失った信用を取り戻すのは並大抵の苦労ではありません。

損害費用など金銭的な賠償負担

消費者の購買差し控えによる売り上げ減少のみならず、顧客や取引先にまで被害が及んだ場合など、賠償責任が発生する可能性もあります。訴訟問題に発展した場合の損害賠償金の支払い、それ以外も被害実態調査にかかる費用や諸連絡の費用など、上げればきりがありません。また、企業イメージのダウンは株価の下落にも繋がり、その信用は簡単に回復することはありません。また、企業イメージの回復を図るためには、多額の費用をかけて信頼回復のPRをしなければなりません。それには資金のみならず、長い年月を要するのです。

このように、情報漏洩がおこってしまうと企業のイメージダウンに留まらず、その企業の存続問題にも成りかねない状況に追い込まれる事もあります。

情報漏洩がおこった場合の企業ダメージは、計り知れません。インターネットの普及によって、自由になった情報網は過失による事故のみならず、悪質な犯罪を招く機会も増やしました。広範囲に情報漏洩のリスクが転がっているのです。この様なリスクを理解し、それぞれの企業にあったセキュリティ対策を行うことが大切です。

2005年の個人情報保護法の施行を前に、情報漏洩への感心も急速に高まっています。企業にとってもリスクを負う範囲が広まっていることを理解し、セキュリティの強化を図ることが大切です。自社の環境に合わせたセキュリティ環境を作り、社員教育により社員のセキュリティ対する意識の向上を図ることが、情報漏洩を防ぐ第一歩となることでしょう。