個人情報の流出、営業秘密の不正取得、新たに始まるマイナンバーの管理…
昨今、企業にとって情報管理の重要性は極めて高くなっています。
一方で、特に中小企業では、情報管理についての知識や専門の人材が不足している状況です。
今回は、ITコンサルタントの目代純平さんに、実際に起こった事件を例にセキュリティ管理の問題点についてお話を伺いました。
エディオン元社員による営業秘密の不正取得
別の記事では弁護士による法律的な解説を伺いましたが、先月報道された損害賠償請求のニュースです。
エディオンの課長であった元社員が、営業秘密を不正に取得し、転職先である同業他社に提供したという事件。
元社員には有罪判決が下され、転職先の上新電機はエディオンから50億円の損害賠償を求める訴えを起こされています。
元社員は、退職する前に職場のパソコンに遠隔操作ソフトをインストールし、転職した後からも遠隔操作で情報を入手していたとされています。
これはどういうことでしょうか?
「遠隔操作と聞くと高度な技術を想像するかもしれませんが、技術的な知識が一切なくても操作は可能です。遠隔操作自体は誰でも手に入れられるフリーソフトをインストールするだけで可能になります。今回もそういったソフトが使われたのでしょう。」
企業によっては、システム管理部などがそういったソフトを使っているケースもありますね。
パソコンの操作が分からない時に遠隔操作で助けてもらった、という方もいるかもしれません。
最近ではスマホの遠隔サポートなども行われているようです。
困ったときには頼りになりますが、悪意を持って使われた場合には大きな問題が発生します。
気付かぬうちにパソコンの中身が全てだだ漏れ、更にはそのパソコンの権限でネットワーク上の情報まで見放題、なんていうことにもなりかねません。
何よりもまずはリテラシー、情報教育が必要
このような事態を防ぐためには、セキュリティの強化と情報管理体制の構築が必要です。
しかし、それ以前にもっと重要なことがあると目代さんは言います。
「まずは、そのような事態を『まずい』と思ってもらわないことには始まりません。情報セキュリティを疎かにすることでどのような問題が発生するのか、どうして問題なのか。例えばウィルス対策ソフトが期限切れの状態で個人情報を扱うことがどれだけ危険なのか。流出事件が起きてしまえば誰でも『まずい』と思うでしょうが、それでは遅いのです。」
情報セキュリティの構築にはコストもかかりますが、コスト同様に導入の障害となるのが心理的な反発なのだそうです。
例えば、社員20人程の企業にパソコンの常時監視ソフトを導入する場合。
メール添付ファイルにウィルスが仕込まれていたり、ページを開いただけでマルウェア感染するウェブサイトもありますから、セキュリティ上必要なことです。
しかし、「監視するのは業務外のサイトを見たり私用メールを送ったりしていると疑っているからではないか」という疑念を持つ社員も出てきます。
「自分たちは信用されていない、会社から信用されていないのならもう辞める」というような拒否反応を示されることもあるそうです。
このような反発を防ぐためには、情報リテラシーを底上げし、セキュリティについての最低限の知識を持ってもらうしかありません。
新入社員への研修はもちろん、役員や管理職は更に高い危機意識が求められます。
セキュリティポリシーの設定やウィルス対策ソフトの導入、パスワードの適切な管理など、個人でできることから専門の人材が必要なことまで、セキュリティ体制構築には相応の労力を要します。
社内で間に合わない案件は外部に委託することも検討するべきでしょう。
もちろん、委託先は慎重に選ぶ必要がありますね。
悪意ある流出はごく僅か
情報漏洩と聞くと、前述の事件のように悪意を持って流出させた事例を想像しがちですが、目代さんによると実際には9割程度が「うっかりミス」によるものだそうです。
USB記憶媒体の紛失などは最たるものです。
USBメモリの危険性は何年も前から周知されていますが、未だに業務使用している企業も少なくありません。
紛失の危険性はもちろん、外部の環境からウィルスを持ち込んだり、ウィルスに侵された自宅PCから情報漏洩が起こったりと大変なリスクを伴います。
企業によっては、USB記憶媒体を無効化しているところもあるくらいです。
利便性と危険性は紙一重ですね。
このような「うっかりミス」の要因を一つずつ排除することで、情報セキュリティの精度を高めることができます。
利便性は多少損なわれますが、セキュリティと利便性はある程度トレードオフの関係だと考えるべきでしょう。
「どの程度のセキュリティ体制を構築すればいいのか悩む経営者は多いです。よく例に挙げるのは、玄関ドアの鍵です。泥棒が怖いからとあまりにもたくさんの鍵をつけてしまうと、解錠は面倒ですしコストもかかります。その挙句面倒くささに負けて裏口から入ったりしてしまいますね。裏口は普段無施錠だったりする場合もあり、かえって安全性を損なってしまいます。玄関も裏口も2つくらいの鍵なら利便性と安全性のバランスが取れますね。」
今回は、企業における営業秘密の守り方についてお伝えしました。
いかにクラウドサービスを駆使して情報を管理し、最新のセキュリティ対策を行っていても、パスワードがパソコンに付箋で貼ってあったら台無しです。
ハード的な対策はもちろんですが、使う側のリテラシー向上、セキュリティ意識の醸成がなければ効果はありません。
これを機に、情報管理体制やセキュリティ対策を見直してみましょう。
————————————————– PROFILE ————————————————–
チェックフィールド株式会社 代表取締役 目代 純平
大学在学中に会社設立。現在は、中小・中堅規模法人向けのIT導入・運用コンサルティング、運用管理代行を中心に約80社のIT環境を総合管理する。2014年フジテレビ「ホンマでっか!?TV」に「ネット問題評論家」として出演。
運営サイト:http://profile.ne.jp/pf/checkfield-mokudai/
