事件多発!情報漏えいの原因はほとんどが内部ヒューマンエラー

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る
469ed0b72677f9f772ea487211c3919d_m

 

職場では「情報漏えい」と「飲酒運転」が特に厳しく注意喚起されていますよね。

個人情報保護法が改正され、すべての事業者が義務対象になります。

万が一、情報漏えいを起こした場合、大切なお客様に、不安を煽り、多大な迷惑を与えてしまいます。

もし自分や家族の名前や住所、生年月日や銀行口座やクレジットカードの
情報や購買履歴などが流出したら、どんな気持ちでしょうか。

金銭的な被害や犯罪に悪用されることを考えると怖いですよね。

それでも情報漏えいのニュースを見て、
我が社は加害者にはならないという危機管理不足。

セキュリティの研修を受けている時も、
右から左に聞き流していたら危険は目前です。

個人情報漏えいの原因は、約8割は従業員など内部によるもので、
ハッキングなど外部の悪徳な人物による事例は約2割。

身内の不注意によるヒューマンエラーが大半を占めているのです。

流出させたご本人は最悪の場合、懲戒解雇や罰金、逮捕、裁判と人生が大きく変わってしまい、
会社は謝罪や調査の稼働や費用がかかるだけでなく、
社会的信頼を失墜し、以後のビジネスにも悪影響を与えます。

また、情報漏えい問題は、仕事中だけのものでもありません。

何気なく投稿したブログやSNSでのコメントや画像や動画で、
自分や友人や知人や職場の情報を漏えいしてしまい、
本人のみならず、まわりに迷惑をかけてしまうこともあるのです。

知らず知らずにプライバシーを侵害し、友人関係が悪化。

勝手に取引先や会社のリーク情報を流出。

アカウント乗っ取りや脅迫やストーカー行為の助長。

便利なネット生活。

一個人の過失により、大事件に発展することもある上、
いったん流出した情報の回収・消去は困難です。

ウッカリ情報漏えいし、悲劇を起こさないよう意識を改善したいものです。

あなたが情報漏えいの加害者や被害者にならないために、
情報漏えいについて、危機管理を身に付けるべく簡単にまとめてみました。

 

目次

  1. 情報漏えいとは(情報漏えい度チェック付き)
  2. 個人情報の取り扱いについて
  3. 個人情報漏えい事
  4. まとめ
zikeidancta

1.情報漏えいとは

情報漏えいとは、企業や団体・公的機関等の所持する顧客情報や取引情報、経営情報などの機密情報が、盗用や不注意により外部に流出すること。

(ITトレンドから一部を抜粋http://it-trend.jp/words/rouei

 

2000年以降のIT時代、情報漏えいは、社会問題になっています。

紙媒体による誤郵送や盗難が依然多いものの、近年は情報がデータ化され、
より簡単に大量の情報の取得が可能になり、多くの事例が発生しました。

中でも「顧客情報=個人情報」の漏えいは、
さまざまな対策が行われている中で、連日、ニュースが後を絶ちません。

 

 

情報漏えい度チェック表

□Winnyなどファイル共有ソフトを利用している。

□セキュリティ研修は他人事で上の空で、eラーニングはやっつけで済ませている。

□パスワードは、誕生日や車のナンバーなど容易に推測できる。パスワードを書いた付箋紙をパソコンなどに貼る。パスワードを定期的に変更していない。

□締め切りの関係上、やむを得ず個人情報を持ち帰る。

□個人情報の印刷物の空白や裏面をメモに使用、SS-BOXやシュレッダーではなく紙ゴミに破棄。

□忙しい時はFAXやメール送信時の複数人確認やテスト送信を怠る。

□「健康診断結果のお知らせ」など関心のある件名メールに対し、よく考えずクリックしてしまう。

□座席を離れる時にパソコンにロックをかけることや個人情報の紙を裏返すのを忘れる。

□帰宅時、施錠がかかり、持ち出しできない壁面書庫に、個人情報を保管することを怠る。

□私物持込の禁止ゾーンへ携帯電話やUSBなど記録媒体を持ち込んでいる。

□社内パソコンからSNSなど私用なサイトにアクセスしている。

□電車や飲食店等での会話に気を付けていない。

 

 

いかがでしたか。

12問中1つでも当てはまる場合、情報漏えいに対する危機管理への意識が希薄です。

情報セキュリティにたいする認識・言動の改善が必要です。

 

2.個人情報の取り扱い

マイナンバーが始動し、今後、個人情報に対するセキュリティ対策の強化はますます必要です。

情報漏えいを防ぐためには、個人情報に対する知識、
保護するためにやるべきことを明確にすることから始めましょう。

 

以下、個人情報の取扱いについて、経済産業省の個人情報保護のページより一部抜粋しました。

 

個人情報保護法では、個人情報は保護が必要な3つの情報に分けられています。

 

  • 個人情報

・生存する特定の個人を識別できる情報

・他の情報と容易に照合でき、その結果、特定の個人が識別できることとなる情報も含まれる

  • 個人データ

・①のうち特定の個人情報を検索できるように体系的に構成したもの(個人情報データベース等)に含まれる個人情報

  • 保有個人データ

・②のうち、開示、訂正、消去等の根源を有し、かつ6ヶ月を越えて保有するもの

 

個人情報より、個人データ、個人データより、
保有個人データの方が、守るべき義務が増えていきます。

個人情報を取得するときの基本的なルールは、
1.あらかじめ利用目的をできる限り特定する
2.取得する際には利用目的の通知・公表等を行う
3.利用目的の範囲内で個人情報を取り扱う
4.個人情報は適正な方法で取得する
という4つです。

できる限り具体的な利用目的を説明し、適正に取り扱うことが必要です。

また取り扱う個人情報が「個人データ」の場合には、「安全管理措置」を実施することが必要です。

安全管理措置には「組織的」「人的」「物理的」「技術的」の4つの側面があります。

 

【組織的安全管理措置】

  • 組織体制の整備

(例:個人情報保護管理者の措置、部署や従業員の役割・責任の明確化、監視実施体制の整備など)

  • 規定等の整備と規定等に従った運用

(例:情報システムの安全管理措置に関する規定等の整備とそれに従った運用、監査証跡の保持など)

  • 取扱状況を一覧できる手段の整備

(例:個人データの取扱台帳の整備など)

  • 安全管理措置の評価、見直し及び改善

(例:監査計画の立案・実施など)

  • 事故又は違反への対処

(例:事故発生時の対応手順の整備など)

 

【物理的安全措置】

  • 入退館(室)管理の実施

(例:個人データを取り扱う業務の、入退館(室)管理を実施している物理的に保護された室内での実施など)

  • 盗難等の防止

(例:個人データを記した書類、媒体、携帯可能なコンピュータ等の机上及び車内等への放置の禁止、個人データを含む媒体の施錠保管、氏名、住所、メールアドレス等を記載した個人データとそれ以外の個人データの分離保管など)

  • 機器・装置等の物理的な保護

(例:盗難、破壊、漏水、火災、停電等からの物理的な保護など)

 

【人的安全管理措置】

  • 雇用契約時における従業者との非開示契約の締結、及び委託契約等における委託元と委託先間での非開示契約の締結。
  • 従業者に対する内部規定等の周知・教育・訓練の実施

 

【技術的安全管理措置】

  • アクセスにおける識別と認証

(例:ID/パスワードによる認証、生体認証など)

  • アクセス制御

(例:アクセス権限を付与するべき者の最小化など)

  • アクセス権限の管理

(例:アクセスできる者を許可する権限管理の適切かつ定期的な実施など)

  • アクセスの記録

(例:アクセスや操作の成功と失敗の記録など)

  • 不正ソフトウェア対策

(例:ウイルス対策ソフトウエアの導入など)

  • 移送・送信時の対策

(例:暗号化等の秘匿化など)

  • 情報システムの動作確認時の対策

(例:情報システムの変更時に、セキュリティが損なわれないことの検証など)

  • 情報システムの監視

(例:情報システムの使用状況の定期的な監視、アクセス状況の監視など)

 

個人データを正確で最新の内容に保つことに取り組むほか、
個人データの安全性を確保するために、
従業者や委託先の監督をしっかりと行うことが求められます。

あらかじめ

本人の同意を得ないで第三者に提供してはいけません。(個人情報保護法23条1項)

同意の取得にあたっては本人が同意に係る判断を行うために
必要と考えられる合理的かつ適切な範囲の内容を明確に示すことが必要です。

以上、経済産業省の個人情報保護のページより引用。

 

個人情報の適正な管理は、企業、個人、NPO法人含む
すべての事業者が法律で義務付けられる対象です。

国内には、管理ルール自体の不備も考えられる事業者もいます。

適正な管理を実施し、個人情報保護に対する考えや方針を
プライバシーポリシーとして作成し、公表が求められます。

あなたが個人事業主であれ、公務員やサラリーマンであれ、
個人情報の取扱の重要さについて、しっかりと認識し、対策を粛々と行っていきましょう。

 

3.情報漏えい事例

多種多様な個人情報漏えいの事故・事件が連日報告されていますが、
情報量が莫大であったベネッセコーポレーションの情報漏えい事件は有名ですね。

先日の3月29日、東京地裁立川支部は、
ベネッセコーポレーションの2990万件におよぶ顧客情報漏えい事件で、
元システムエンジニアの男に、不正競争防止法違反(営業秘密の複製、開示)の罪で、
懲役3年6ヶ月、罰金300万円(求刑懲役5年、罰金300万円)の実刑を下しました。

被告の男は、2990万件の情報をスマートフォンなどにデータ転送し、
名簿業者に1000万件の情報を転売

子どもたちや保護者の方の住所や名前や電話番号、
生年月日が掲載されたデータが流出。

名簿業者に売り、競艇などのギャンブルや借金返済にあてていた行為は悪質卑劣すぎます。

ベネッセホールディングスは事件発覚の2014年7月の翌年には営業利益87.5%減
進研ゼミ会員数はピーク時420万人から35%減の271万人に減少し、被害は甚大です。

プライバシーマークを取得し、厳しい個人情報管理を行っているベネッセホールディングスでありながら、スマートフォンをセキュリティーゾーンに持ち込めたこと、社内パソコンからスマートフォンにデータ転送できたという落とし穴

元システムエンジニアのモラルの低さはもちろん、
会社や管理者やまわりの情報管理ルールの徹底の課題も浮き彫りとなりました。

情報漏えいの約8割を占める内部(従業員等)による情報漏えい事故・事件。

ベネッセの事件のような故意による窃盗よりも、
本意ではない過失によるものがほとんどです。

原因は大きく分けて、「誤操作」、「管理ミス」、「紛失・置き忘れ」の3つ。

誤郵送、メールやFAXの誤送信、管理体制の甘さによる紙ゴミへの破棄、
電車や飲食店での置き忘れ、整理整頓不足による紛失などなど。

繁雑で忙しい毎日、誰にでも起こり得るヒューマンエラーです。

管理ルールに従い、形骸化せず、基本動作の徹底が必要となります。

ベネッセのような情報漏えいでは、アクセス制限やデータ転送の制限や
監視カメラや持ち物検査の管理体制は他の企業や官公庁よりは整備されていた中でも起こります。

やはり上司や同僚の声かけや目配りも重要です。

不正をさせない風通しのよい職場づくりが大切ですね。

仕事中だけではありません。

私生活でも同じです。

LINEでのアカウント乗っ取りによるWebマニーによる被害のニュースは覚えている方も多いでしょう。

犯人が悪いのですが、安易なアカウントやパスワードを使用していませんか。

お金を騙し取られるだけでなく、
警察への被害届の手間など、友人関係がギクシャク。

友人が自分のために、3万円のWebマニー購入の被害に遭ったなんて辛いですね。

安全性を確認していないサイトで個人情報を入力していませんか。

ネットバンキングやクレジットカードの不正使用に使われることや
悪徳な業者に個人情報が利用されることにつながる恐れもあります。

Facebookなどの自己紹介での内容から、
秘密の質問が推測されてしまう事例もあるようです。

芸能人のカップルが訪問したホテルのレストランや不動産会社を
従業員がTwitterでつぶやいたこともニュースになりました。

ネット上での発言は特定の狭い範囲だけだと思い込んでいませんか。

もし自分が当事者だったら、私生活を不特定多数の人にばらされるのは不快です。

ミーハーな好奇心や自慢したい気持ちと引き換えに、
漏えいしてしまったことで解雇され職を失いました。

自分は、ニュースになった人たちと違い、
わきまえていると過信していませんか。

そんなつもりはなくとも、自分や家族や友人のブログや
SNSの投稿で個人情報を公開していることも。

友人の投稿に対するコメントで「○○さん家の隣のカフェだね」
「○○ちゃん(子どもさんの名前)、大きくなったね」と、つぶやいていませんか。

画像の位置情報の紐づけや承諾を得ていない方の姿や場所が特定できるものがありませんか。

プライバシー侵害やストーカー犯罪への誘発を招きかねません。

カフェのノマドウォーカー、素敵ですね、
僕も旅先でよく利用しています。

無料wifiの接続時には、重要なデータの取扱はしないほうが無難です。

自宅パソコンでも、Winnyなどファイル共有ソフトは入れないほうが得策でしょう。

まだ解禁されていない会社の情報を伏せ字で抽象的につぶやいても、
あなたの職場が、以前の投稿から関連付けできることもあります。

公開限定の投稿やLINEでの個人間での送信であっても、
一度、ネット上に発信されたものは、いつ流出するかわかりません。

半永久的に削除は難しくなります。

ネットを利用する以上、ある程度、覚悟を持って送信する意識が必要かもしれません。

日々、世間の情報漏えいのニュースに関心を持ち、自分自身の行動を顧みることも大切です。

 

 

4.まとめ

お客様一人一人のニーズに合った顧客満足度を満たすためには、個人情報の利用は必要です。

これからの経済発展や快適な生活のためにも、
個人情報をはじめとする、情報のビッグデータは宝です。

私たちはパソコンやスマートフォンなどを活用することで、とても便利になりました。

情報の取扱いに対する法律やガイドラインを正しく理解して、
適正に扱っていけば、個人情報などの利用に対し、過剰に敬遠をする必要はありません

自分が被害者や加害者にならないために、
個人情報保護について、本を読んだり、セミナーを受講したり、
検定を受けてみるのもよいかもしれません。

楽しんで学び、活用していけたらベストですね。

幸せな充実した毎日のため、車の安全運転と同様に、
取り返しのつかないことにならないよう、情報漏えいを防ぎましょう。

 


あわせて読みたい


seo詐欺の相談が急上昇!依頼前にしっかり勉強して対策を

自作自演の疑いがあるサジェスト削除業者に注意

通販サイトのトラブルなら!無料電話相談できる6つのサイト 

SNSでもうっかり流出?押さえておきたい個人の情報漏洩4つのポイント

個人情報保護法を違反するとどうなるのか? 事例からリスクヘッジを学ぶ

個人情報保護法23条のおかげで学校は連絡網も作れないの?

「うっかり」では済まされない!事例から学ぶSNS情報漏洩への対策

従業員が営業秘密を漏洩した場合の対策事例

 

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

まだ誹謗中傷対策はするな!

「無料PDF|失敗しないための対策会社の選び方4つのポイント」

あなたは今、誹謗中傷にお困りかもしれませんが、まだ誹謗中傷対策をしないでください。対策を急いだあまりに、悪徳業者に騙されるという二次被害の報告も相次いでいます。

本書では誹謗中傷対策で失敗しないために

①弁護士の選び方
②業社の選び方
③詐欺業社の見抜き方
④依頼するときに気をつけること

という4つのポイントを解説していきます。

あなたも誹謗中傷対策で失敗しないためにも、まずは本書をお読みください。

無料でPDFをダウンロードする

SNSでもご購読できます。

zikeidancta

コメントを残す

*

CAPTCHA