以前の記事「情報漏えい事故の約80%を占める原因」で解説した通り、情報漏えい事故の多くは「PC操作の不注意やミス」から発生しています。
社員が重要データが保管されているノートパソコンやスマホを社外で紛失したり、怪しいWebサイトを閲覧してウイルスに感染するケースが大半を占めていると報告されています。
これらをシステム的に対策を行うことも可能ですが、コストが大きくなり、日常のパソコンを使った業務にも影響を及ぼし業務効率を低下させてしまうリスクがあります。
「PC操作の不注意やミス」は、情報セキュリティに関する意識の低さや、いい加減な管理が原因となりますので、まずは「社内規定の整備」が必要です。
この社内規定とは、一般的には「情報セキュリティポリシー」や「情報セキュリティ管理規定」、「情報セキュリティ方針」というもので、自社のWebサイトなどで公開されている企業も多くあります。
情報セキュリティの社内規定を作成するためにガイドラインは公的機関等から配布されていますが、内容が分かり難いので、本記事では予備知識として簡単に解説してみたいと思います。
1.全て企業に共通して必要な対策と、企業毎に検討が必要な対策
企業規模や業種に関係なく、全ての企業で共通して必要となる対策と、企業毎の業務形態や事情に応じて考慮が必要となる対策があります。
2.全ての企業に共通して必要な対策
1)情報セキュリティに対する組織的な取り組み
情報セキュリティは、社長がその実現に責任を持つことを明確に従業員に対して宣言することが重要です。
そして、責任者や担当者(どちらも同一人物でも可)を任命し、責任者は社内外に対して情報セキュリティの役割を徹底することになります。
次に、管理すべき重要な情報資産とそうでない情報資産とを区別して管理し、重要度に応じた管理方法を定めていきます。
重要な情報と重要でない情報を交ぜて管理すると無駄が出て管理レベルの低下に繋がりますのでこの区別はしっかりと行っておくことが、情報セキュリティ対策の成否に大きく影響します。
また、重要な情報を外注先等とやり取りする必要がある場合の手順や、従業員や派遣社員との守秘義務契約や誓約書の取り交わし、本規定や情報セキュリティ対策についての定期的な教育についても定めておきます。
2)物理的なセキュリティ
重要な情報が保管されている物理的な場所への入退室管理や施錠管理や、重要情報が保管れているサーバやパソコン、ネットワークに自然災害や人的災害が起こらないような対策を行う必要があります。
信用できるクラウドサービスを使うことで、この対策を行うという手もあります。
また、タブレットやスマホ、USBメモリー等のように容易に持ち運びができる記憶媒体については、盗難や紛失に対する対策や、不要なものは確実に廃棄処分することも重要となります。
デジタルデータ以外の紙媒体などの重要情報もシュレッダーや焼却などを確実に実行する定めを行っておきましょう。
3)情報システム、通信ネットワークの運用管理
情報システムの運用が属人化することなく、運用ルールの策定やマニュアル(手順書)の整備を行っておく必要があります。
運用ルールには、ウイルス対策ソフトやWindowsUpdate等のセキュリティパッチの適用についても含めておきましょう。
通信ネットワークに関しては、SSL通信等でのデータの暗号化やUSBメモリーやモバイルパソコンを盗難や紛失の備えて、適切なパスワードや暗号化での保護も定める必要があります。
4)情報システムのアクセス制御、開発、保守
重要情報が取り扱われるシステムへのアクセスをID/パスワードやその他認証で制御し、不要なIDは速やかに削除することを定めておく必要があります。
また、ID(利用者)毎にアクセスできる情報やシステムを設定しておきましょう。
インターネットへの接続に関しては、セキュリティ脅威となるサイトへのアクセスを遮断する対策を行うことが望ましですが、教育によりリスクを軽減することも定めておきます。
その他、情報システムの保守も手順書を作成しておき、外部委託する場合は実施状況を把握できる体制を整えておく必要があります。
5)情報セキュリティ事故の対応
情報漏えいやウイルス感染等の情報セキュリティ事故が発生した場合に、何をすべきかを定めておき、万一の事故が発生しても迅速かつ適切な対応が行える体制を構築しておきます。
また、情報システムに障害が発生した場合も、業務を再開させるために必要な手順を定めておく必要があります。
これらは、経営者と従業員が把握し、いつでも対応が行えるようにしておくことが重要です。
2.企業毎に検討が必要な対策
1)様々な脅威を自社に置き換えてみる
以下のような脅威に対して、自社で起こる可能性があるか?起こるならどのような時に?起きたらどのような危険があるのか?それを回避するにはどのような対策を行う必要があるのか?を検討しましょう。
①従業員による重要情報の持ち出し
②退職者が情報持ち出し競合他社へ就職
③私物パソコンを業務に利用したために情報漏えい事故が発生
④ホームページへの不正アクセス
⑤業務委託先からの情報漏えい事故
⑥システム障害の発生
⑦ITシステム担当者が休暇中の事故や障害の発生
⑧業務システムの障害発生
⑨無線LANへの不正アクセスが発生
2)自社の事情に合った情報セキュリティ対策を整理
情報資産の洗い出しは情報セキュリティ対策の第一歩です。洗い出しは、デジタルデータだけでなく紙の情報も含まれます。
洗い出した情報資産を以下のように分類し台帳を作成しましょう。
・個人情報のように漏えいしたときに会社経営に大きな影響のある情報
・財務会計情報のように改ざんされたときに会社経営に大きな影響のある情報
・設計図面のように紛失や利用できなくなったときに会社経営に大きな影響のある情報
そして、事故が発生する可能性とその影響を検討し、その対策を対応方針として定めておきましょう。
以上が情報セキュリティの社内規定を作成するための予備知識となります。
社内規定の作成には時間と手間がかかりますが、業務や情報資産の見直しのいい機会であり、それを通じて業務が効率化することもありますので、皆さんの会社でも情報セキュリティ規定の作成を検討してみてはいかがでしょう。