|
 |
|
|
|
|
|
|
|
個人情報の取扱を含む情報セキュリティにおいて、
社内規程は漏れなく整備されていなければならない。当然である。
しかし、問題はその社内規定を従業員が理解し実行しているかどうか、徹底して運用されているかである。知らなければ存在しないものと同様である。
ここに問題がある。この社内規定は念入りに作成されているが、従業員への徹底が不十分で、運用面でおざなりである企業が少なくない。
例えば秘密情報保持規定。入社の際に承諾しサインしたことを覚えてはいるだろうか。
いまの新入社員は幼少期から日常生活でメールやツイッター、ブログに慣れ親しんでいる。そこで勤務中知り得た情報を軽い気持ちでアップしてしまうかもしれない。ラインで親しいグループに漏らしてしまうかもしれない。「今日うちの支店に○○(某芸能人)さんが借り入れに来ました。意外とカッコイイ!○○区に住まいがあるようです・・・運転免許証ゲット!」もしこのような内容をツイートされたら(2015年5月類似事件が某銀行で発生)・・・ |
|
ネット社会では凄まじい勢いで拡散し、多くの人が目にするようになるのである。勿論、秘密情報保持規定違反に該当する。場合によっては懲戒解雇処分もあり得るが、この行為が規定違反であることを認識できない、していない従業員が現実にいるのである。
また、今や重要文書・ファイルのやりとりにメール(Eメール)は欠かせない。顧客情報をメールでやりとりする際にパスワードで保護する社内規定はあっても実態はしていない企業も多い。(2015年日本年金機構の情報漏えい事件はこのケース。)
つまり立派な社内規定を備えても従業員に周知徹底されていないため問題が生じるのである。
日々刻々と変化する情報漏えいリスクに対処するため、年に数回は社員教育・研修を行うことが望ましい。この情報セキュリティに関する教育・研修も非常に重要である。御社は定期的に社員教育・研修を行っているだろうか? |
|
|
|
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
2014年の情報漏えい事件は、業務委託社員によって大量の顧客情報が名簿業者に売却されたり、退職者が製品の技術情報を持って競合他社に転職したりと「委託先」や「退職者」による漏えい事件が目立った。
そこで、従業員だけなく委託先の外部業者や退職者に対する対策も重要になってきた。 |
|
ITシステムの強化、社員教育・研修による徹底した規定の運用、そして退職者や委託業者に対しての対策など十分に行っても、やはり情報漏れを100%防ぐことは不可能である。
個人情報処理を外部に委託している企業など自社内で十分な対策を行っても、外部から漏えいということもあり、もはや情報を完全にコントロールすることは不可能といっても過言ではない。
|
|
|
|
|
|
|
|
|
| 報道時期 |
2014年報道された情報漏えい事件 |
不正行為者 |
| 7月 |
【教育サービス業】
顧客データベースを保守管理する業務委託先の元社員が、大量の個人情報を流出させたとして不正競争防止法違反の疑いで逮捕 |
委託先社員 |
| 5月 |
【自動車会社】
元社員が退職する直前同社のサーバにアクセスし販売計画など営業上の秘匿情報を不正に得ていた不正競争防止法違反の疑いで逮捕 |
退職者 |
| 5月 |
【公共機関】
ネットワークシステム保守管理の委託社員がシステムにアクセスできる権限を悪用し入札情報などを不正入手し同社営業担当の社員に送付 |
委託先社員 |
| 3月 |
【製造業】
業務委託先の元社員が、機密情報を不正に持ち出し、転職先の外国企業に提供したとして、不正競争防止法違反の疑いで逮捕 |
退職者 |
| 2月 |
【金融機関】
ATMの取引データから顧客のカード情報を不正に取得し、偽造キャッシュカードを作成・所持していた容疑で逮捕 |
委託先社員 |
| 出典:プライスウォーターハウスクーパース株式会社PwC作成から引用 |
|
|
|
 |
|
|
|
|
|
|
|
個人情報が漏えいした場合を想定した対策も非常に重要である。
過去の事例から判断すれば、漏えい事件は発生後
早期公表、早期お見舞金や賠償金の提示、原因の調査と公表、対策強化の発表と立て続けに対処できるか否かで、その企業イメージや評価が決まる。情報漏えいは迅速に対処することがとても重要だ。 |
|
この迅速な対処を可能とする対策が次である。
|
|
|
情報漏えい事故発生後(あと)の対策 |
|
 |
|
○漏えい発生を想定した対応マニュアルの作成 |
|
(積極的に早急対処することで被害拡大を防ぐ) |
|
○漏えい発生を想定した対応費用の確保・準備 |
|
(早期対処がより容易に) |
|
|
そう、対応マニュアルを作成することで自ずと必要な対応費用が見えてくるのである。その費用をどのように確保するか整備しておけば万全だ。
少なくとも漏えい事件で株主代表訴訟を起こされても責任回避できる公算は大きい。 |
|
|
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
ここ最近、対応費用の確保に情報漏えい保険を活用する企業が増えてきている。しかし、この情報漏えい保険は費用対効果がとても高い対策であると知る人はまだまだ少ない。
見舞い金の確保、訴訟となった場合の賠償金の確保のほか、社告や会見の費用、事故原因調査費用、外部に委託したコンサルティング費用、コールセンター設置費用などを補償する。また、漏えいがウィルス感染により発生し情報システムに修繕が必要な場合は復旧費用も対象となる。もちろん高額になる可能性が高い求償(関連会社からの損害賠償請求)にも対応できる。
更に、ここでの対象情報は個人情報のみならず個人情報に該当しない財務情報や信用情報など企業情報やマイナンバー、クレジットカード番号、ID番号など様々な情報が対象となる(あいおいニッセイ同和損保サイバーセキュリティ保険の特徴)
|
|
事件発覚後、漏えい対策費用に充てられる費用の確保ができているため、社告・会見の際に見舞金や対策費用について速やかに言及できる。十分な対策費用を確保することで、積極的に対処していけるのである。
法人も個人も自動車事故を想定して自動車保険に加入している。死亡事故の賠償金は高くてもせいぜい1名3億円余りである。情報漏えいの損失は2014年大手通信教育会社で200億円を超える額だが、どちらも同じくたった一人が起こした事件事故である。事業者によっては自動車保有リスクより、情報漏れリスクの方が大きいかもしれない。ならば、自動車保険の前に情報漏えい保険ではないだろうか。
マイナンバー制度が施行し情報漏えいによる企業リスクは今後更に高まるであろう。 この保険は企業活動において必須である。そう、情報漏えい保険は自動車保険同様、大変重要な保険なのである。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(コピー厳禁 20150721大村忠史執筆) |
|
| |
 |
|
| |
企業保険サポートのサイト上のコンテンツ、情報、および他の資料に関する知的財産権は「企業保険サポート」あるいはコンテンツを提供している提供元に帰属し関連する知的財産権に関する法律により保護されています。そこで、許可無くこれらコンテンツ、情報、および他の資料を複製・改変・頒布・転載・再利用することはできません。 |
|
