今野真吾 
何かとビジネス関連の法律に関する記事を書く機会が多い、ライターの今野でございます。
個人情報保護法は簡単に言うと「業務上知り得た個人情報をリストとして管理する場合、絶対外に漏らすなよ」といった趣旨の法律です。違反して個人情報が流出すると社会に対する影響が大きく、また刑事罰の対象となり自社の信用失墜は避けられません。
そんな恐ろしい個人情報流出ですが、テレビなどで話題になっている事例は対岸の火事ではありません。けっこう皆さん「あわや」といった経験、あるようですよ?
ヒヤリハットな事例
【戦慄! ワンアクションで個人情報流出の危機】
個人情報の入った顧客リストの生ファイル、社内の連絡だからとメール添付で直接送付……これ、大変危険です。軽い気持ちでやりがちではありますが、返信や転送のワンアクションでとんでもない流出事案に発展する可能性があります。
「メーラーの自動入力候補から送信先を選んだと思ったら、うっかり間違って社外の人に機密情報を送ってしまった」という事例は多数あります。事実、日本情報経済社会推進協会の調査でも2020年代の情報流出事故原因は「誤送付・誤送信」がトップの座を守り続けているんです。そうでなくてもメールは必ず通信事業者のメールサーバーを経由するので、暗号化されない通信経路をたどることもしばしば。また、受け側が私物PCなどへの転送設定をしていた場合、その時点で情報の社外流出で、そこからどこに流れていくかもわかりません。メールで機密情報は扱わない方が良いでしょう。
【恐怖! ファイル共有方法の罠】
社内で使用が認められていないクラウド環境を利用したことで、社内の不正アクセス検知の範囲外で不正アクセスの対象となってしまった事件も発生しています。
外部とのファイル共有のためにクラウドサービスを使用、アクセス権限の設定ミスにより第三者へ情報流出した、という事例は官庁・民間企業問わず多々ありますし、未遂に終わったヒヤリハット案件はそれ以上の数でしょう。
こういったことを防ぐために、大半の会社では、セキュリティーポリシーで利用可能と認められたシステム以外は利用禁止になっているはずですので、注意しましょう!
各事例の具体名は控えましたが、これらは両者ともに事前の確認ができるもの。事が起きる前に気付けばヒヤリハットで済みます。しかしながら、できれば根本的な対策をしておきたいところです。
インシデントを原因から防ぐには
これらの原因は作業者のヒューマンエラーです。個人での確認に依存している限り、たとえ作業チェック表などの対策をしてもミスの可能性をゼロにはできません。
そこで取り組むべきは何かというと、仕組み化です。
その一例ではありますが、ルシダスでは外部と情報のやり取りをするときは、会社で契約しているDropbox Business(監査記録も残るセキュアな環境)のDropbox Transferを使ってファイルの流通経路の安全を確保しており、規定のツールとして運用しています。この「規定のツールを運用している」が大事なところ。
つまり、ここで言う仕組み化とは「そもそも余計なことが起こらない状況を作る」ことであり、無関係の人間が無関係のファイルにアクセスする余地をなくしてしまおうということです。
もちろん、システム面だけ対策すればいいというものではなく、情報取り扱いルールの策定も重要です。誰がどの個人情報にアクセス可能かの管理規定、情報取り扱い時の報告経路、利用後の削除規定など、「ミスったときの言い訳/責任の所在確認のための運用ルール」ではなく「ミスを防ぐための運用ルール」を規定し運用していきましょう。
実は、このような仕事の仕組み化などのご相談もルシダスでは受け付けております。「マーケティングの相談ついでに、仕事の安全性も確保するDXはできないかな?」のニーズにお応えできますよ!
執筆者プロフィール
- 深川市生まれ、旭川市育ち、旭川工業高等専門学校出身。全国高等専門学校ロボットコンテストなどに取り組みつつ高校生クイズ予選に出てみるなど楽しく遊び、某大手。…[続きを読む]
最新の投稿
情報セキュリティ2024年9月13日マーケで起きる個人情報のヒヤリハット!?
マーケティング2024年7月19日いつまでもカン違いされているDXについて······
マーケティング2024年6月7日同意の押し付けがアカンという話
マーケティング2024年5月7日何からはじめるDX?よくわからんぞDX!
メルマガ登録
マーケターやマーケティングにご興味のある方へ。些細なことから「おっ」と思う注目の事柄まで、読んでお得な情報をメールで配信中!気になる方は今すぐご登録を!