今日から使える「情報セキュリティ」
基本のキ［入門編］

ニュースなどで頻繁に目にする企業の情報漏洩事故。あなたは、他人ごとだと思っていないだろうか？
「情報を狙われるのはいつも大企業だし、そもそも漏れて困る機密情報なんてものはない」
そう考えているなら、認識を改める必要がある。情報化社会といわれる現代、情報がお金と同等かそれ以上の価値を持つことが少なくないからだ。

例えば、工事情報（図表①参照）や従業員の個人情報は、悪用される恐れがある。長年かけて蓄積した施工技術や取引先ネットワークの情報は、経営を支える大切な資産であり、お客様から預かった機密情報は信頼の証でもある。

「顧客情報を漏らすと損害賠償請求に発展する可能性があります。なによりも一度失った信用を回復するのは容易ではなく、取引解消ともなれば、経営破綻の恐れすら考えられます。しかも、情報漏洩の原因は、故意、過失を問わずさまざまあるため、未然に防ぐには、しっかりとした対策が欠かせません」

ITコンサルタントであり、企業の情報セキュリティ対策にも詳しい山口寿義氏が指摘するように、パソコン（以下、PC）がウイルスに感染して情報を盗まれるケースもあれば、情報を保存したUSBメモリやスマホを紛失するケースもある。
不満を抱えて退職する従業員が、辞めるときに情報を持ち出す事件さえ起きているのだ。だからこそ、「情報漏洩のパターンを知り、それに応じた対策を講じることが重要」になってくる。

ひと口に情報セキュリティ対策といっても、アナログ情報とデジタル情報では、その方法や注意点が異なる。それぞれの注意点を山口氏に聞いた。
「まずアナログ情報ですが、もっとも大切なのは情報の重要度に応じて、管理する『人』と『場所』を明確にすることです。『名刺は社員各自』『図面は部門長』などと管理者を決めることで責任の所在が明らかになり、注意を促すことができます」

一方、デジタル情報を守るためには、「外部脅威への対策、過失への対策、モバイル対策の3つのポイントを押さえておくといい」と、山口氏はアドバイスする。

●外部脅威への対策
「会社で使用しているPCのOSとバージョンは何か、把握されていますか？　もしWindows XP以前のOSを使い続けているのなら危険です。ウイルスをはじめとした標的型攻撃は、PCの脆弱性、つまりセキュリティの抜け穴をついてくるからです。これを防ぐには、OSやソフトウェアを常に最新の状態に保ち、脆弱性を解消しておくことが重要です」

情報セキュリティ対策を立てるためには4つのステップが必要である。
1つ目は「情報資産」の洗い出しだ。図面や取引先リスト、社員名簿、経理財務関連情報、工事関係者の個人情報など、自社が保有している情報をすべて書き出していこう。

2つ目は、洗い出した情報の重要度を判断していくこと。マイナンバーをはじめとする個人情報など、法律で安全管理が義務付けられているもの、守秘義務の対象として指定されているものなど、「漏洩することで自社や取引先・お客様に深刻な影響を及ぼすもの」を最上位に設定。
以下、「事業に影響のあるもの」、「ほとんど影響のないもの」と振り分けていけばいい。

最後に、情報セキュリティで最も重要なことは何か、山口氏に聞いた。
「情報漏洩というと、ウイルスなどに攻撃されて、無理やり奪われるイメージをもたれるかもしれません。しかし、実際は人的ミスによるものが圧倒的に多いのです。図表⑧を見てわかるとおり、管理ミスと誤操作、紛失・置き忘れの合計で8割以上。このことからも、情報セキュリティ対策は社員の意識改革なくして実現できないと、おわかりいただけると思います」

ここで重要になるのが社員教育だ。「社内重要情報の種類」、「情報漏洩で何が起こるのか」、「情報漏洩の原因と対策」について研修を実施。さらに、研修が形骸化しないよう、社内外のセキュリティ事故を、経営者の言葉で継続的に情報発信することも定着化のポイントである。