座談会：情報セキュリティー対策について

えぇ。大丈夫よ。また何かあったの？

そう。茶縞くん、ちょっとこっち来れるかしら？

居てくれた方が、助かると思うけど？

お待たせしました。

茶縞くん、おつかれさま。で、今度はどうしたの？

セキュリティー対策？防犯対策の事かい？

あぁ、そっちね。最近もあったわよね。婚活アプリの個人情報流出事件とか。

少し前だと、通信教育の大手が、3500万件以上の顧客情報流出事件がありましたね。

そういう事故を起こすと、会社のイメージにかなり響くものね。

そうですね。ウチくらいの会社で、漏えい事故を起こしてしまうと、倒産の可能性もでてきますね。

そうね。だから、三毛さんが入社してからは、雇い入れ時の秘密保持研修をお願いしているわよね。

はい。入社時に秘密情報や個人情報の取り扱いについてのルールを説明してから、業務に取り掛かってもらっています。

鍵尾くんも、受けたでしょ？

じゃぁ、なんで困っているのよ？

幸さん、何もなければ社長に相談しに来ないよね？

思ったことを素直にいいなさいよ。こっちが理解してあげるから。

うんうん。

うんうん。

なるほど、２つ目が問題だったわけね？

確かに、普通はそう思うよね。

確かに、難しい問題ではあるわね。情報漏えい対策も、サイバー攻撃対策も。

でも、「しておいた方がいいこと」は、いくつかあるわ。

そうですね。まずは、「情報漏えいもサイバー攻撃も他人事ではないと認識する」こととか。

どこの誰か分からない人からの攻撃を気にするより先に、「社内のヒューマン・エラーを無くしていくようにする」とかね。

独立行政法人情報処理推進機構の調べでは、情報漏えい事故の約半分は、ヒューマン・エラーで起きているわ。

メールやFAXの誤送信や紛失、誤廃棄などよ。一番多いのは、ウイルス感染や不正アクセスだけどね。

ウイルス感染や外部からの不正アクセスについては、研修で注意喚起を促すことで、ある程度は効果があると思うよ。

「既存取引先以外から届いたメールの添付ファイルは開かないこと。」とかね。プライベートのメールやメッセージでも同じであることを伝えることで、「明日は我が身」って思えるんじゃないかしら。

従業員が意図して行う情報漏えいに対しては、情報漏えいをした場合には社内規則でも、法律でも罰せられることや、場合によれば賠償責任を負わされる可能性があることを、研修等でしっかり教えておくとかね。

研修と合わせて物理的な対策を講じておくと、より良いわね。

でも、アンチウィルスソフトをインストールして、常に最新の状態にしておくことくらいは、できるんじゃないかな？

そもそも、自分でできないなら、詳しい人を雇うか、専門家にお願いするしかないんじゃない？

そりゃそうよ。でも何の対策もせずに、情報漏えいをしてしまうと、大変な事故になるわよ。

一気に必要なもの全部揃えられるなら、それに越したことはないけどね。難しければ、出来ることからステップアップしていけばいいんだよ。

それじゃ、遅すぎるって思う？

気持ちは分かるわ。だからこそ、そこは経営判断で経営者がどこまで対策するのかを決めるのよ。

そうよ。だって、従業員のミスや意図的な漏えいも、結局のところは会社の責任なんだから。使用者責任ってやつよ。

結局、監視の目を潜り抜けて、意図して情報を盗みだす行為は、コストをかけて防御策を講じるしかないわ。

簡単なところだと、PCのUSBの差込口を塞いでおくとかね。

コストをかければ、社員証がなければ印刷もコピーもできないようにしておく方法もあるし、そもそも入室制限をすることも可能になってくるわ。

手間もコストだけど、運用を変えるだけでできる対策もあるわよ。

うちは一般従業員にはPCの管理者権限を渡していないから、ソフトウェアのインストールができなくなっているでしょう？

面倒かもしれないけれど、不正なアプリケーションをインストールしてしまわないようにするための措置なのよ。

従業員が誤ってウイルス感染しているファイルを開いたり、不正なソフトウェアをインストールしたりすることが、不正アクセスの原因の１つだからね。

そうよ。ようやく、腑に落ちた？

それは良かったわ。

他なにか気になることはあるかい？

ほんとに大丈夫かしら・・・？