2014/04/09
防災・危機管理ニュース
-->
1.2個人情報漏えい時の影響
個人情報が漏えいした場合、一般的には以下のような手順に従って対応がなされる。漏えい事件の規模にもよるが、これらの対応は通常業務と並行して実施されるため、大企業においては大きな負荷が掛かるとともに、その対応費用も高額に上ると考えられる。
これに対し、中小企業の場合、大企業と比べて保有する情報量が少ない場合が多く、損害賠償額を含めた対応費用は相対的には高額にはならない場合が多いと考えられる。
<図4における各対応時の想定コスト>
②初動対応:体制構築に関する費用
③調査:漏えい原因究明・ログ解析等システム分析に関する費用(数百万円)等
④通知・報告・公表等:コールセンター開設費用・それに伴う人件費(数百万円)、電話代(数十万円)、お詫び状の作成・発送費用(100円程度/人)、新聞広告出稿費用(全国紙4紙に1/3面で約800万円)等
⑤抑制措置と復旧:再発防止対策費用(数百万円)等
⑥事後対応:金券等のお詫び対応費用(義務ではないが、500円/人程度が支払われるケースも見受けられる)等
| *平均損害賠償額:漏えい事件:3787万円/件、5万7710円/人 出典:特定非営利活動法人日本ネットワークセキュリティ協会「2012年情報セキュリティインシデントに関する調査報告書(上半期速報版)」 |
2.情報漏えいの原因と対策
2.1ヒューマンエラー
マスコミにおいては、サイバー攻撃による個人情報の漏えいが大きく報じられるが、研究情報や製品情報ならびに取引先の情報などの重要情報が、ヒューマンエラーやサイバー攻撃を受け漏えいするケースも存在する。これらの情報も個人情報と同様、社外に流出すると、自社への信用を失墜させたり、取引停止や新規事業の断念などの危機的事態にも陥りかねない。
以下で、ヒューマンエラーのパターン別にとるべき対策について述べるが、情報セキュリティ対策という観点からは、個人情報とその他の重要情報において大きな差異はなく、企業が保有する情報に共通してあてはまるものとしてお読みいただきたい。
原因1:管理ミス
「管理ミス」による情報漏えいとは、作業手順の誤りや、情報の公開・管理ルールが明確化されていなかったために漏えいすることをいう。例えば、情報の受け渡し確認が不十分で紛失した、適切な管理がなされず誤って情報を廃棄したなどのケースが挙げられる。
<対策>
・事務所へ無許可の人が立ち入りできないようにする。
・情報の受け渡しの際には、台帳を作成し、受け渡し確認を取るとともに記録を保管する。
・取り扱う情報に保管期間を決め、定期的に情報の棚卸を実施し、不要な情報は廃棄する。
・起動中のPCを他の人が利用できる状態で席を離れない(離席時はパスワードロックをする)。
・各端末にはウィルス対策ソフトを導入のうえ、常にソフトウェアを更新する。
・情報管理に関する教育(従業員の意識付け)を定期的に実施する。など
原因2:誤操作
「誤操作」による情報漏えいとは、あて先の書き間違えや操作ボタンの押し間違えなど、人間のオペレーションミスにより生じる情報の漏えいのことをいう。例えば、あて先間違いによる電子メール・ファクシミリの誤送信、郵便の誤送付、などが挙げられる。
<対策>
・郵便物の発送に関わる作業は、一定の広さがある作業台等で実施する。また、作業中の割り込み作業を禁止する。拠点間のファクシミリ通信は内線化するか、番号を短縮登録する(登録時に、テスト通信を実施する)。
・ファクシミリ送信時は、複数人立会いのもと送信する。
・電子メール(Outlook使用時)のあて先入力を行う場合は、オートコンプリート機能は利用しない(設定を無効にする)。または、連絡帳の「表示名」を利用し、送信前のあて先チェックを容易にする。
・送信ボタンを押した後、数分間は送信ボックスに留まった後に発信されるよう設定する。
・メールで送付する添付ファイルはパスワード設定や暗号化を行う。など
原因3:紛失・置忘れ
「紛失・置忘れ」による情報漏えいとは、「持ち出し許可を得た情報を、個人のミスにより持ち出し先や移動中に忘れたり、紛失したりすることで生じる情報漏えい」のことをいう。例えば、電車、飲食店など外部の場所において、設計図・PC・情報媒体等を紛失する、などが挙げられる。「紛失・置忘れ」については、個人の危機感や性格によるところが大きく、事件を発生させないためには情報を持ち出させない、という方法が最も効果的であるが、その一方で、日常業務を遂行する上での妨げになるため、一律持ち出させないということはなかなか難しい。このため、万一紛失・置忘れが発生した場合も、第三者がその情報にアクセスできないように、以下のような対策を講じることが考えられる。
<対策>
・PCやデータを持ち出す際には承認制とする。
・従業員におけるUSBメモリの使用禁止または使用制限を行う。
・持ち出し用PCにはBIOSパスワード、システムパスワード、ハードディスクの暗号化ならびにファイルの暗号化を行う。など
- keyword
- ITセキュリティ
防災・危機管理ニュースの他の記事
直近のセミナー・イベント
おすすめ記事
-
大規模災害時に通信はどこまで使えるか?
首都直下地震では、発災直後から通信が混乱。音声通話はもとよりメールやSNSも遅配が発生、その後も基地局電源の枯渇で不通エリアが拡大する可能性があります。通信環境が発達した社会ゆえにその影響も大きいですが、大規模災害時、通信はどこまでカバーされるのか、企業が考えておくべきことは何か。京都大学防災研究所の畑山満則教授に聞きました。
2022/07/07
-
-
インターネットが長期に渡りつながらない世界
KDDIで発生した通信障害は、産業・生活の全般にわたって大きな混乱を引き起こしました。通信システムはいまや経済機能・社会機能の根幹。今回の事象はそれがつながらなくなったときに何が起きるかを見せつけましたが、災害時にはより大規模な障害が発生します。東京都による首都直下地震の被災シナリオから、企業のIT継続の課題を考えます。
2022/07/06
-
-
DX時代のサイバー攻撃リスク対策のトレンド~新たなデジタルワークプレースの守り方~
本セミナーでは、昨今のデジタル環境とサイバー攻撃に関するトレンドを整理し、PCやモバイル端末、クラウド、ネットワークなどの「デジタルワークプレース」を守る際のポイントをキーワードで分かりやすく解説していただきました。2022年7月5日開催
2022/07/06
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2022/07/05
-
-
-
2022危機管理標語カレンダー【夏編】
リスク対策.comは3月から、メールマガジンに「今日の危機管理標語」を掲載しています。このほど、6月~8月の標語を落とし込んだ「2022危機管理標語カレンダー夏編」を作成しました。春編に続き、リスク対策.PRO会員の皆様にお届けします。従業員の皆様にお配りするなど、危機管理のコミュニケーションツールとしてお役立てください。
2022/06/29
-
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
![2021年BCP事例総まとめ[永久保存版]](https://risk.ismcdn.jp/mwimgs/a/6/160wm/img_a6cb301164bcf0e91b3b99a03924748a119304.png)
![東日本大震災から10年 BCP事例総まとめ[永久保存版]](https://risk.ismcdn.jp/mwimgs/2/3/160wm/img_23a95ae5f56e68aa732c33c92f290f651084700.jpg)
![事例集 企業のコロナ対応の記録[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/1/160wm/img_8195503d42fae295899ebbb940b1ae7248691.jpg)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方