2018/07/02セキュリティトレンド情報
独立行政法人情報処理推進機構は、情報漏洩や内部不正を起こさないようにするには次の10の対策を講じる必要があるとしている。
これは情報セキュリティのスタート地点といえる。経営者は情報セキュリティを経営課題の1つに据え、機密性、完全性、可用性の観点からリスク管理を行っていく必要がある。経営者は自己の責任を明確にするとともに、基本方針を策定して情報セキュリティを社内に浸透させなければならない。
情報の格付けを行う。秘密情報、重要情報、それ以外の情報と分けることで、すべての部署の管理職が保護すべき情報を把握できるようにする。情報の格によってアクセス権を付与する対象者を決めることも必要だ。具体的には、役員や社員のID番号と情報を紐づけしていく。そしてシステム管理者が相互に監視できる体制をつくることも求められる。高い規範意識を持った者をシステム管理者に任命するとともに、システム管理業務が1人に集中しないように業務配分を考慮する。
重要書類を保管している場所に入ることができる人を制限したり、重要情報にアクセスできるパソコンに触れる人を限定したりする。情報への不正アクセスを物理的にシャットアウトするのである。
社員たちが日常的に使っているパソコンなどの情報通信機器から情報漏洩しないよう対策を講じる。具体的にはSNSの利用やファイル共有ソフトの使用を制限することになる。ファイル共有ソフトはマルウェア感染を引き起こすリスクがある。また業務の外注では、委託業者に重要情報を渡したら業務終了後の情報廃棄まで監視する必要がある。社員が社内の自分のデスク以外で重要情報を使った仕事をするときのルールも厳格化する必要がある。
パソコンの操作履歴などのログや証跡を保存しておくことである。誰がいつどの情報にアクセスしたかという情報が残っていれば、情報漏洩が発覚したときにすぐに実行者を特定できる。実行者が特定できれば被害の拡大を防ぐことができる。
役職者への情報教育を行う。役職者が一般社員による情報漏洩を認知していながら「温情」によって放置してしまえば、役職者の責任だけでなく、役職者を任命した経営者の責任も問われることになる。また人的管理の中には、退職した役職者が重要情報を漏洩しないよう、秘密保持契約を結ぶことも含まれる。
内部不正を犯した者をどのように懲戒処分するかを、就業規則などに明文化する。就業規則に情報セキュリティに関する罰則規定がないと、懲戒処分をしたときに処分者から不当処分であると訴えられたときに対抗できなくなる可能性がある。
公平な人事評価と適切な人事異動が課題になる。役職者が人事評価を恣意的に行ったり、報復的な人事異動を敢行したりすれば、社員に不平不満がたまり情報漏洩などを誘発してしまいかねない。昇格、昇進、昇給に関する決まりは透明性を持たせる必要がある。
内部不正や情報漏洩が発生してしまった場合、被害を最小限に抑える策を講じることだ。情報漏洩が発生したら、実行者の特定と処分、被害拡大の阻止、影響範囲の特定、記者会見、報告書の作成、再発防止策の検討、法的処置の検討などを行う。これらを一斉に短期間で行うことで、損害を最小限に抑えることができる。
内部通報制度を整備する必要がある。内部通報が健全に行われるには日頃から社内の風通しをよくしておかなければならない。内部通報者の保護も制度化し、それを社員に周知していく。また組織管理を適切に行えば、そもそも内部不正を起こす社員がいなくなる。
【最新号】ビジネスマガジン『BMC』6月号発行!
最新情報
2018/05/22
サイバーセキュリティ入門 ターゲットは中小企業
セキュリティトレンド情報
2018/03/26
オフィス一人当たりの面積~オフィスの適正面積
オフィスQ&A
2016/10/18
オフィスのお悩み別紹介! 会議室の改善・5つのアドバイス
オフィス移転提案集
2016/12/16
初めてのオフィス移転「知っておくべき6つの基本」
コラム
2017/01/06
オフィス移転はいつから準備すれば良いの!?
ビル企通信
2017/02/06
専用食堂や貸自転車までオフィスビルの付帯設備に注目
ビル企通信
2016/12/19
電話受付時間 9:00~18:00(土日・祝日除く)
オフィス環境構築のリーディングカンパニーとして企業改革を多角的にサポートし、
あらゆるオフィスニーズにお応えられるサービス提供を目指します。