検索
7pay、リクナビ…後を絶たない「情報流出」の実態
取引先情報の漏えいによる信頼性の低下、誤った情報による中傷や批判など、一つの「情報」によって企業が大きなダメージを受けてしまうケースは少なくありません。
2019年には、セブン-イレブンのバーコード決済サービス「7pay」で不正アクセスが発覚したことや、リクルートキャリアの運営する就職情報サイト「リクナビ」で「内定辞退率」が企業に提供されていたことが大きな問題となりました。
ほかにも、オージス総研が運営していた大容量ファイル転送サービス「宅ふぁいる便」、ディー・エル・マーケットが運営していたデジタルコンテンツ販売サイト「DLmarket」では、不正アクセスによる情報流出が原因でサービス休止もしくは終了に追い込まれています。
そのため現在、ほとんどの企業では情報セキュリティ対策に取り組んでおり、『情報通信白書』によると、情報通信ネットワークを利用している企業のうち、「なんらかの情報セキュリティ対策を実施している」と答えた企業の割合は99.3%となっています。一方で、約40%の企業が「セキュリティ対策の確立が困難」と答えていることから、現在実施している対策がベストだとは言い切れない状況がうかがえます。
情報セキュリティ対策の難しいところは、各企業の事業内容や規模によって、重視すべきポイントが変わる点にあります。
社内外の情報を多く取り扱う企業であれば一定の堅牢性が求められますが、必要以上にセキュリティを強化すると、作業効率が下がるという問題があります。部長や課長などチェックする人が増えれば、それだけ時間がかかるのは当然です。また情報と聞くと「どう守るか」ばかりに目がいく人も多いでしょう。ところが、取引先のリストをどんなに厳重に守っていても利益にはつながりません。情報は「どう使うか」も非常に重要なのです。
例えば、小さな企業などでは情報の管理が甘くなりがちです。この場合、外部に情報が漏れやすいだけでなく、必要なときに情報に辿り着きづらいといった問題も発生します。具体的には「ある得意先の情報は社長しか知らない」といったものです。しかしこれは逆に、自社に合ったルールを設ければ、情報を守ると同時に業務効率を改善することも可能だということです。
ルール違反をしていることは分かっているのですが…
情報セキュリティの堅牢性と業務効率のバランスを取るためには、導入する前にさまざまな準備をしておく必要があります。準備が不十分なまま導入を進めても、現場の反発や無駄な作業が増えてしまうからです。情報セキュリティの管理者を決めたり、文書化した情報をどのように管理するかを決めたり、社員のためのマニュアルを作成したり……。
なかでもいちばん大切なのは、「なぜ情報を守るか」を明確化することです。ほかの準備がきっちりできていても、この部分がおろそかになっていると情報セキュリティに大きな穴が開いてしまいます。
A社はチラシやハガキ、パンフレットなどの印刷を請け負う従業員40人程度の印刷会社でした。数年前から情報管理に取り組み、ISMS(情報セキュリティマネジメントシステム)も取得していました。年に一度のISMSの審査に備えて4カ月前から部門長クラスが毎週集まり、夕方5時ごろから夜の11時ごろまでみっちりとミーティングを実施。
半期に一度は独自に作成した「セキュリティ力」のチェックテストを全従業員に受けてもらい、その結果に基づいて部門長クラスが「どうすればもっと社員のセキュリティ力を向上できるのか」について議論を交わします。文字どおり、徹底した情報管理を実践していたのです。
このA社が情報管理のために作成していた書類のなかに「複製管理台帳」というものがありました。サンプル品や顧客情報など扱いに注意が必要な情報をプリントアウトしたりコピーしたりするときに、その都度日付と名前、内容を書く書類です。
これだけでもかなりの手間ですが、同社ではさらに複製管理台帳がきちんと書かれているかをチェックする人と、そのチェックが確実に行われたかどうかをチェックする人を置いていました。
もし複製管理台帳が正しく運用されていれば時間も労力もかかりますから、誰がどう考えても業務効率はダウンします。
ですから、筆者はISMSの担当者だった副社長から複製管理台帳の存在を聞いたときには、正直なところ「本当に現場で実践できているのか?」と疑問を抱きました。そこで各部門の担当者にヒアリングをしたところ、こんな返事が返ってきました。
「いやいや、そんな細かいところまで対応していられませんよ。かといって、内部監査があるので白紙で出すわけにもいきませんから、テキトーなものを作って期日までに提出しているんです。ルール違反をしていることは分かっているのですが、副社長が突然決めてしまったので……」
つまり、セキュリティのためのルールが形骸化し、まったく無意味な作業が発生していただけでなく、情報の捏造という新たな問題も生まれていたわけです。
なぜこのような事態に陥ってしまったのか? その原因は、現場を知らない副社長が堅牢性だけを考え、トップダウンで情報セキュリティ対策を実施してしまった点にあります。当然、ルールで縛ってしまえば情報管理の機能は高まりますが、実際にどんな場面で、どれくらいの頻度でその情報が使用されるのかを考えてルールを決めなければ、スムーズに仕事をすることはできません。
上記A社の情報セキュリティ対策は100点満点中150点といっても過言ではないほど完璧でした。しかしこれは裏返せば「やり過ぎ」ということです。40人程度の企業がISMSを取得し、自社の情報を適切に管理するために部門長クラスが膝を突き合わせて延々と議論をする必要はありません。A社が必要以上に厳重なセキュリティを構築してしまったのは、「なぜ情報を守るか」という情報セキュリティ対策をする理由の部分が不明確だったからです。
もちろん、ISMSを取得しておかないと取引先からの信用が得られないからとか、情報管理を徹底しなければ漏えいのリスクがあるからといった理由はありました。しかしそんな漠然とした理由だけでは社員にまでは浸透しません。A社が実施していた複製管理台帳が正しく機能しなかったのもこのためです。
ISMSの担当者である副社長がトップダウンで指示を出すだけで、どうして複製管理台帳とその二重チェックが必要なのかを現場が理解できるレベルで考えられていなかったから、「内部監査に合わせてテキトーに作ったものを提出する」という結果になったのです。こうなると社内情報のコピーやその持ち出しをまったく管理できていないのと同じですから、情報漏えいのリスクが格段に高くなってしまいます。
ビシバシなセキュリティ対策で却って現場は緩くなる
情報セキュリティ対策を行う理由が不明確なまま導入を進めると情報漏えいのリスクが高くなるのは、現場の社員がルールに対して受け身になってしまうからです。
仕事の目的が分からないままルールだけを押し付けられると、社員はどうしても「言われたことをとりあえずやっておこう」というふうに考えてしまいます。その結果、起きるのがルールの形骸化です。A社の複製管理台帳はまさにその典型です。
同社のISMSの担当者である副社長は現場の社員たちに、社内の情報を持ち出すたびに書類を作成し、そのうえ多重チェックまで受けなければいけない理由を理解させられていませんでした。理由も分からないのに業務効率を下げてまで情報管理をしようと思うほど現場に余裕はありません。だから「監査のときにテキトーなものを作る」ということが起きていたのです。
オフィスの入退室管理も形骸化しやすいものの一つです。会社の執務エリアには守るべき情報が溢れかえっています。業務上やり取りが必要な取引先の企画書や営業計画書、図面、自社の取引情報や個人情報、パソコンの画面に表示されている電子メールや電子ファイル……これらすべてに外部に漏らしてはいけない情報が含まれます。
社員間の業務上の何気ない会話のなかにも、秘密にしておかなければならない情報はたくさん詰まっています。だからこそ情報セキュリティ対策としての入退室管理が必要になるのです。
ところが「トイレに行くだけなのに、毎回入退室管理簿に名前と時間を書かなきゃいけない」「書類一枚を取りに入りたいだけなのに、毎回入退室管理端末にパスワードを入力しないといけない」となると、現場の社員には億劫なもの。そのため「なぜ入退室管理をするのか」の部分をきちんと理解していないと、つい管理簿への記入をサボったり、パスワードを「1234」「0101」などの単純なものに設定したりと、ルールが形骸化してしまうのです。
しかし、そんなことをすればいつ誰がどこに出入りしていても分からないので、セキュリティは穴だらけになります。大事な情報を盗み見られる、USBなどを通じて直接パソコンにウイルスを仕込まれる、といったリスクも高まります。
情報セキュリティ対策を行う理由が不明確なまま導入を進める。
↓
社員が情報セキュリティ対策に対して受け身になる。
↓
ルールが形骸化し、セキュリティに穴が生じる。
↓
情報漏えいのリスクが高まる。
情報セキュリティ対策の問題の本質が「なぜ守るか」がはっきりしていないことにあるというのは、このような流れで情報漏えいのリスクが高まっているからなのです。
幸松 哲也
LRM株式会社 代表取締役 CEO
