第7回「情報漏えい事故発生、そのとき」:研修で教えてくれない!
いくら対策を取っていても、情報漏えいを完全に防ぐことはできない。情報の盗難や紛失は不可抗力的な側面もあり、発生を100%防げるわけではないからだ。では、情報漏えいが発生してしまった場合にとるべき対処法はどういうものだろう。
大手総合商社「メデア商事株式会社」の営業部3課の新人・小林ケンタは、客先に出向く準備をしていた。1人で訪問するのは初めてということもあり、少々緊張しているようだ。そこに課の先輩・高柳ワタルが近付いて来た。
高柳 よぉ、小林! 緊張しているみたいだな。
小林 あっ、高柳さん。1人は初めてなので……。
高柳 ま、誰でもそんなもんだよ(笑)。ところで、今日持っていく資料の持ち出し申請は済んでるか?
小林 はい、昨日申請を提出して、課長から許可をもらっています(7月2日の記事参照)。
高柳 よし。資料準備はOKだな。ところで以前一緒に出かけたときに情報漏えい防止のための心得を教えたと思うが、覚えているか?(7月17日の記事参照)
小林 カバンから目を離さない、カバンの中身を把握しておくというヤツですよね。大丈夫です。あれ以来、日頃から常に気をつけるようにしています。
小林は自信満々に答えた。
高柳 よし。でもそれだけ頑張って気を付けていても、不可抗力で盗難されてしまうってこともあるだろ? もし万が一そんなことが起こったら、まず何をする?
小林 えっと、警察に行きます。
高柳 その次は?
小林 すぐ会社に報告します。
高柳 そうだ。とにかく隠すってことだけは絶対にしてはいけない。これは紛失だけじゃなくてウイルスに感染したとかそういうときもそうだ。社内情報がちょっとでも外部に漏れた可能性があるかも知れないと気がついたらすぐ社に報告。これを忘れてはいけない。
小林 はい。
高柳 じゃあ、なぜ隠さずにすぐに報告すべきなんだと思う? 当たり前と言えば当たり前かも知れないけど、すぐに報告すると何がいいんだ?
小林 う〜ん……。隠さず正直に報告することで会社に褒めてもらえるとか……。
高柳 おまえ、めちゃめちゃ可愛いヤツだな。
高柳は小林の答えに思わず爆笑してしまった。
高柳 まぁ、確かにおまえ個人の立場からするとそうかも知れないが、会社にとってはどうだ?
どんなに厳重、厳密に社内情報を管理し、社外へ持ち出した情報の取り扱いに充分注意を払っていても、盗難や紛失を100%完全に防ぐことはできない。またウイルス感染についても同様に100%防ぐことはできない。従って、その前提のもと、万が一の事態が発生したときの対応手順を明確に把握していなくてはならない。
特に社内情報の漏えいが発生した可能性がある場合は、できるだけ速やかに会社に報告することを忘れてはならない。これは、どのような情報がいつ、どの程度漏えいしたのかを速やかに把握し、関係者に連絡することで2次被害を防ぎ、被害を最低限に抑えることができるからだ。
例えば、顧客のクレジットカード情報が漏えいした場合は、その事実を速やかに顧客に周知すれば、顧客はカード会社に連絡してカードを無効化することでカードの悪用という2次被害を未然に防げる。もし顧客への周知が遅れれば、カードが悪用される可能性が高まることは明らかだろう。
また競合他社に知られては困る機密情報が漏えいした場合は、その機密情報を無効化する対応を取ることができる。例えば、公表間近の情報であれば、多少不完全な状態であってもいち早く公表してしまうことで、“公表前という価値”があった機密情報の価値をなくすことができるのだ。もちろん機密情報全般に当てはまるものではないが、プレスリリースできる性質のものであれば、公表することで機密ではなくなる、というわけだ。
小林 なるほど……。でもよくよく考えてみると、不可抗力による盗難や紛失なら、すぐに会社に報告できるんですけど、明らかな個人のミスによる場合は、何とか自分だけで解決しようとして会社に届け出ないなんてことがありそうな気がするんですが……。
高柳 その心情はもちろんオレも理解できる。しかしそうやって会社への報告をしないでいるうちに2次被害が発生したらどうする? 会社の被害は、漏えい事故を起こした社員1人で責任を負えるレベルをはるかに越えちまうだろ? 場合によっては会社の倒産に繋がる可能性だってあるんだ。
小林 ……。
高柳 だからウチの場合は、個人のミスによって漏えい事故が発生しても、隠さずにすぐに報告した場合には、厳重注意以上の罰は与えない規則になっているんだ。責任は、漏えいした情報の内容によるが、直接の上司を含めて上の者が取る。しかし、もし隠しておいて後になって漏えいした事実が外部から発覚したような場合は、もちろん厳しく罰せられる。だからたとえ個人のミスで漏えい事故を起こしてしまっても絶対に隠してはいけない。分かったな?
小林 はい。
漏えい事故を起こしてしまった社員に対する罰則規定はもちろん会社により異なる。しかし事故を起こした本人を厳しく罰してしまうと、事故を隠す者が増え、結果的に会社にとって致命的な被害に繋がる恐れがあることから、近年は、隠さず正直に報告した者には軽く、隠した者には重くというのが一般的になりつつある。
とにかく事故が発生した場合は、隠したい気持ちがあっても、決して隠してはならない。隠しても実は誰も得をしないのだということを肝に銘じよう。
著者紹介 山賀正人(やまが・まさひと)
セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳(英語、韓国語)やプログラミング、システム構築等コンサルなど活動は多岐に渡る。JPCERT/CC専門委員。Webサイトはこちら。
関連記事
- 月刊総務 共同特集:会社でも通用する情報セキュリティの基礎
PCやインターネットを仕事に利用することが一般的になった現在、中小企業やSOHOでも情報セキュリティの重要性はますます高まっている。専任の技術部がいない会社で従業員1人1人が気を付けるべき「セキュリティの基礎」とは──。 - 概論編「なぜセキュリティ対策する必要があるのか」を再考する
セキュリティ対策ってなんだか面倒くさいし、技術部などの専門部署に任せておけばいいんじゃない? 本当のセキュリティ対策は、技術部だけでがんばっても限界がある。個人からボトムアップしていくセキュリティ対策の重要性をもう一度考えてみよう。 - 第6回「情報漏えい防止は日常の生活習慣から」
「メデア商事株式会社」の営業部3課の新人・小林ケンタは、課の先輩・高柳ワタルとお客様の元に出向くところだ。電車に乗った小林に「荷物を網棚に置くなよ!」と高柳が注意する──。 - 第5回「使いたいソフトを勝手にインストールしてはダメ?」
インターネット上には多数の便利なソフトが無料で公開されている。しかし、業務のPCに勝手にインストールしていいものだろうか。なぜ「勝手にインストール」がダメなのかを考える。 - 第4回「セキュリティポリシーは何のため?」
手続きの面倒くささばかりが目立つ「セキュリティポリシー」だが、外部に情報を持ち出しする場合、ポリシーで定めている手続きに沿って持ち出した情報を“管理”することが重要だ。持ち出し情報を管理していれば、万が一、外部に情報を漏洩してしまったときの対応も早くなる。 - 第3回「自動返信メールが“危険”な理由」
大手総合商社「メデア商事株式会社」の新人・小林ケンタは、初めての有給休暇を取ることになった。休暇中、自動返信メールを設定すべきかどうか――。 - 第2回「HTMLメールはなぜダメなのか」
ちょっとメールの見栄えを良くしようと思ってHTMLメールで送ろうとしたらエラーが出ちゃって――。どうしてHTMLメールを送信しちゃダメなんだろう。 - 第1回「メールを転送しちゃダメ?」
大手総合商社「メデア商事株式会社」の営業部3課――。新人研修を終えて配属されたばかりの新人・小林ケンタがメールの設定マニュアルと“格闘”していた。
Copyright © ITmedia, Inc. All Rights Reserved.