近年では、インターネットなど情報システムが普及し、大量の情報の蓄積や交換が容易になるとともに、企業の情報流出などに関するリスクは拡大しています。顧客情報などが流出した場合、企業は経営責任だけではなく、多大な損害、社会的信用の失墜というダメージを受けることになります。企業は社会的責任という観点からも情報セキュリティの仕組みを構築する必要があります。また、2005年4月1日に個人情報を取扱う事業者に対して、個人情報の取り扱い方を定めた個人情報保護法が施行されました。
【リスクの発生に対する対応】
情報流出などのリスクが発生しないためのポイントを、以下に説明いたします。
(1)セキュリティポリシーの策定
セキュリティポリシーを策定することで、従業員が企業のシステムを利用して「何をやってよいのか」、「何をやってはいけないのか」などの行動指針になります。ただし、セキュリティポリシーは策定しただけでは不十分です。従業員に浸透させ、根づかせるにはさまざまな工夫や仕掛けが必要となります。
- ※セキュリティポリシー:セキュリティポリシーとは、組織内の情報セキュリティを確保するための手順や対応策などをまとめた包括的な指針のことです。
(2)内部の対策
とくに情報流出の多くが内部犯行によるものです。本来情報と関係のない従業員が簡単にアクセスできるような状況では、非常にリスクが高いといえます。対策としては、「データの暗号化」や「パスワードや指紋などによるアクセスコントロール」などにより、業務上必要最低限の者にのみ必要なアクセス権限を与えるような仕組みにする必要があります。
(3)外部の対策
外部から自社のデータベースなどへの不正アクセスも考えられます。「ファイアーウォールの設置」や「ウイルス対策ソフトの利用の徹底」などにより、セキュリティレベルを高める必要があります。
(4)情報の管理
企業には、顧客情報などが日々蓄積されています。管理方法の徹底や、必要性のない書類やデータ、CD-ROMなどは、明確なルールのもと適時に廃棄する仕組みが必要です。
(5)パソコンなどのセキュリティ
情報流出のケースとしては、書類の紛失、ノートパソコンの盗難、外部からデータベースへの不正アクセス、内部の人間による情報の持ち出し、FAX・メールの誤送信などが考えられます。パソコンなどは盗難される可能性の高い資産になりますので、次のようなことに留意する必要があります。
- ノートパソコンは、室内であってもチェーンをかけるなどルールを徹底して、物理的に 盗難されないようにしましょう。
- パソコンの起動やスクリーンセーバーにはパスワードを設定し、ほかの人が簡単に使用できないようにしましょう。
- パソコンなどが盗難された場合でも、通常の方法ではデータにアクセスできないようにセキュリティをかけておき、実際には被害につながらないようにしましょう。
【リスクが発生した後の対応】
セキュリティポリシーを徹底しても、リスクを100%完全に防ぐことはできません。リスクの発生を防ぐことも重要ですが、リスクが発生した場合も想定して、被害が最小になるような準備をしておくことも大切です。リスク発生に備えて、次のような対応が考えられます。
- システムダウンの損害や情報流出などによる損害賠償に備えた保険の加入
- リスク発生時に迅速に対応するためのマニュアルの作成
【個人情報保護法】
個人情報保護法は、個人の権利と利益を保護するために、個人情報を取り扱う事業者に対して、個人情報の取り扱い方法を定めた法律で、2005年4月1日に全面施行されました。事業者は個人情報の適正な取り扱いが求められます。
(1)目的
個人情報の有用性に配慮しながら、個人の権利や利益を保護することを目的としています。
(2)利用・取得に関するルール
- 個人情報の利用目的をできる限り特定し、利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはいけません。
- 偽りそのほか不正手段によって個人情報を取得することは禁止されます。
- 本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければなりません。間接的に取得した場合は、すみやかに利用目的を通知または公表する必要があります。
(3)適正・安全な管理に関するルール
- 個人情報の漏洩などを防止するため、個人データを完全に管理し、従業者や委託先を監督しなければなりません。
- 利用目的の達成に必要な範囲で、個人データを正確かつ最新の内容に保つ必要があります。
(4)第三者提供に関するルール
