【COMPASS presents】顧客と会社の情報をきちんと守れる会社に

「うちは小さい会社だから、狙われるわけはない」
「取られて困るような情報、持ってないよ...」

インターネットの普及、多様な業務ソフトの提供、パソコンなどハードウェアの低価格化により、業務においても大量の情報をデジタルで自在にやり取りできるようになりました。

社会生活において窃盗や泥棒、誘拐など様々な事件が起きてしまうのと同様、デジタル化された情報においても外部から狙われたり事故を起こしたり、活用するうえでのリスクが潜んでいます。
安全に使うためのルール作り・対策は必須なのです。

その際によく聞くのが、冒頭のように「うちは大丈夫だから対策は不要」という意見。
企業の大小は関係ありません。「大丈夫」ではないのです。
技術力やサービス力を磨き、誠実に経営をしてきた企業が、ネットからの攻撃（サイバー攻撃）で窮地に陥る事件も、現実に起きています。

情報セキュリティ対策に無頓着でいるとどうなるのか。経営の観点から、認識したいリスクは次の3点です。

情報セキュリティ対策を怠るリスク

無防備に放置した虎の子の貯金や友人の住所リスト・写真や手紙が盗まれたら、悔やんでも悔やみきれません。だからカギを掛けたり安全な保管場所を探したりします。

にもかかわらずなぜかデジタル化された情報には「自社は大丈夫」と思ってしまうところが、一番大きな「情報セキュリティ上の脆弱性」かもしれません。

情報を人質にするランサムウェア 改正個人情報保護法も

ICTの活用において、具体的にどのような脅威が発生しているのでしょうか。

独立行政法人情報処理推進機構（IPA）の情報セキュリティセンターでは、毎年「情報セキュリティ10大脅威」を発表しています。
2018年は次の通りです。

情報セキュリティ10大脅威 2018　組織編

• IPA発表（IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約100名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定）

第2位にある「ランサムウェア」に着目しましょう。
ランサムウェアとは、会社の情報をロックして金銭を要求する攻撃です。
なぜ、勝手に社内に入って情報をロックできるのかというと、「請求書」など思わず開いてしまうタイトルのメールを送り、添付ファイルを開くと攻撃につながる通信が始まるなどの方法をとるからです。手口は巧妙です。こうした特定の組織を狙う「標的型攻撃」（第一位）は依然続いています。

第6位には「ウェブサービスからの個人情報の窃取」が挙がっています。
ウェブサービス内に登録されている個人情報やクレジットカード情報等の重要な情報を窃取される被害、つまり顧客の情報が盗まれるのです。

2017年の「改正個人情報保護法」では、5000人以下の個人情報を扱う事業者への除外項目が撤廃されすべての企業が対象になりました。
個人データを漏えい、減失、き損させないよう、安全管理措置を行う義務があります。
社内で構築している顧客データベースはもちろん、とくにネットショッピングの会員サイトなどネット経由の情報は、厳格な管理が求められているのです。

トレンドマイクロの調査では、「重大被害を経験した組織」のうち約30％が年間被害額1億円以上を示しています。

重大被害を経験した組織での年間被害額（n=2017年　570、　2016年　530）

• ※
  トレンドマイクロ「国内法人組織におけるセキュリティ実態調査 2017年」より
  2017年6月実施。官公庁自治体および民間企業における情報セキュリティ対策の意思決定者および意思決定関与者1,361名を対象にした調査

悪意がなくても情報漏れ!? 社内の教育や意識改革も必要

情報セキュリティの脅威から会社を守るには、セキュリティ対策サービスの導入、OSやソフトウェアの更新などICT面での対策と同時に、社員のセキュリティ意識を高め、ガイドラインを作り実行する社内の取り組みを行います。

最近の脅威に関する知識があれば、おかしなメールに気づいたり、データの安全管理措置について自ら考えたり、会社の情報を守る行動がとれます。

以前放映された製造業の中小企業を舞台にしたテレビドラマにおいて、退職する社員が大事な図面データをUSBメモリーにコピーし転職先の競合他社へ渡す（つまり大事な情報を盗む）シーンがありました。当人が悪いのはもちろんですが、簡単にコピーできるようなシステムを放置し、情報の取り扱いについて啓発していなかった会社側も管理体制が問われると言えます。

一方、SNSやクラウドサービスの普及を背景に、意図しない情報漏えいも見られています。
例えば、日々の生活で手軽な情報公開に慣れすぎて、会社員の立場にも関わらず不用意に発信してしまうケース。SNSに今日訪問した会社での出来事を書き込み、場所が特定できるような写真を載せてしまえば、社名はなくてもどこに行ったかわかってしまいます。商談の性質によっては訪問先企業から信頼を失うでしょう。

また、「仕事の残りを家で片付けよう」と、個人が使っているクラウドサービスに業務のファイルをアップ。しかしパスワード管理が甘く、なりすましログインをされファイルが漏れてしまい、善意の行為が情報漏えいを招くこともあります。

スマートフォンとクラウドサービスの普及でいつでもどこでも情報を扱えるようになりました。便利だからこそ、会社の情報をどう扱えばよいか、情報の重要度をどうとらえるか。情報セキュリティについて学習する機会と仕組みづくり、情報セキュリティ対策を担う人材育成を進めていきましょう。

取り組みのきっかけづくりに使えるものとしてIPAが実施している「SECURITY ACTION（セキュリティアクション）」を紹介します。中小企業が自社でセキュリティ対策に取り組むための自己宣言制度です。

★一つと二つの2段階あり、自己宣言しIPAに申し込むとロゴマークを使用することができます。

セキュリティアクションは「認定」ではなく「自己宣言」ですが、セキュリティ対策に取り組む姿勢を持つ企業として信頼獲得に役立ち、社外に宣言した以上、実行に移す後押しになります。

情報セキュリティ対策は経営者が自社の課題と認識し、会社をあげて取り組みましょう。

そして、定期的にチェックし見直しを行います。

脅威から会社を守る体制づくりは、社員が情報漏えいなどを引き起こす当事者になる不安を解消し、セキュリティ意識が高い企業として取引先からの信頼獲得にもつながります。

「うちは大丈夫」ではありません。「うちも狙われる可能性がある」前提で、推進していきましょう。