ビルディンググループが提供するオフィス情報サイト

情報漏洩や内部不正を防ぐ10の対策

独立行政法人情報処理推進機構は、情報漏洩や内部不正を起こさないようにするには次の10の対策を講じる必要があるとしている。

①経営者責任

これは情報セキュリティのスタート地点といえる。経営者は情報セキュリティを経営課題の1つに据え、機密性、完全性、可用性の観点からリスク管理を行っていく必要がある。経営者は自己の責任を明確にするとともに、基本方針を策定して情報セキュリティを社内に浸透させなければならない。

②資産の管理

情報の格付けを行う。秘密情報、重要情報、それ以外の情報と分けることで、すべての部署の管理職が保護すべき情報を把握できるようにする。情報の格によってアクセス権を付与する対象者を決めることも必要だ。具体的には、役員や社員のID番号と情報を紐づけしていく。そしてシステム管理者が相互に監視できる体制をつくることも求められる。高い規範意識を持った者をシステム管理者に任命するとともに、システム管理業務が1人に集中しないように業務配分を考慮する。

③物理的な管理

重要書類を保管している場所に入ることができる人を制限したり、重要情報にアクセスできるパソコンに触れる人を限定したりする。情報への不正アクセスを物理的にシャットアウトするのである。

④技術管理と運用管理

社員たちが日常的に使っているパソコンなどの情報通信機器から情報漏洩しないよう対策を講じる。具体的にはSNSの利用やファイル共有ソフトの使用を制限することになる。ファイル共有ソフトはマルウェア感染を引き起こすリスクがある。また業務の外注では、委託業者に重要情報を渡したら業務終了後の情報廃棄まで監視する必要がある。社員が社内の自分のデスク以外で重要情報を使った仕事をするときのルールも厳格化する必要がある。

⑤証拠の確保

パソコンの操作履歴などのログや証跡を保存しておくことである。誰がいつどの情報にアクセスしたかという情報が残っていれば、情報漏洩が発覚したときにすぐに実行者を特定できる。実行者が特定できれば被害の拡大を防ぐことができる。

⑥人的管理

役職者への情報教育を行う。役職者が一般社員による情報漏洩を認知していながら「温情」によって放置してしまえば、役職者の責任だけでなく、役職者を任命した経営者の責任も問われることになる。また人的管理の中には、退職した役職者が重要情報を漏洩しないよう、秘密保持契約を結ぶことも含まれる。

⑦コンプライアンス

内部不正を犯した者をどのように懲戒処分するかを、就業規則などに明文化する。就業規則に情報セキュリティに関する罰則規定がないと、懲戒処分をしたときに処分者から不当処分であると訴えられたときに対抗できなくなる可能性がある。

⑧職場環境

公平な人事評価と適切な人事異動が課題になる。役職者が人事評価を恣意的に行ったり、報復的な人事異動を敢行したりすれば、社員に不平不満がたまり情報漏洩などを誘発してしまいかねない。昇格、昇進、昇給に関する決まりは透明性を持たせる必要がある。

⑨事後対策

内部不正や情報漏洩が発生してしまった場合、被害を最小限に抑える策を講じることだ。情報漏洩が発生したら、実行者の特定と処分、被害拡大の阻止、影響範囲の特定、記者会見、報告書の作成、再発防止策の検討、法的処置の検討などを行う。これらを一斉に短期間で行うことで、損害を最小限に抑えることができる。

⑩組織の管理

内部通報制度を整備する必要がある。内部通報が健全に行われるには日頃から社内の風通しをよくしておかなければならない。内部通報者の保護も制度化し、それを社員に周知していく。また組織管理を適切に行えば、そもそも内部不正を起こす社員がいなくなる。