企業と情報セキュリティ（個人情報保護）セミナーレポート

2019年9月12日（木）当社は、東京海上日動リスクコンサルティング株式会社様と共催で、企業と情報セキュリティ（個人情報）セミナーを開催いたしました。個人情報の漏えい対策、紙から電子まで情報管理のあるべき姿を講演させていただきました。その中でも重要なポイントをまとめてレポートさせていただきます。

サイバーリスクと情報セキュリティ、その傾向と対策

セミナーの前半では、東京海上日動リスクコンサルティング株式会社ソリューション創造本部シニアマネージャーの杉浦基紀様から「サイバーリスクと情報セキュリティーセミナー ～個人情報漏えい事故を中心とした傾向と対策～」というテーマにて講演していただきました。

無形資産が大きな価値を生む時代に！

近年何かと話題になる「GAFA」ことプラットフォーマー4社の時価総額は、300兆円を超え、日本の国家予算に匹敵しています。一方、日米を問わずプラットフォーマーの環境にも変化が訪れています。F社が最大8,700万人分の個人情報を流出（2018年3月）させたことを皮切りに、米連邦取引委員会がF社に対し5,400億円規模の制裁金を科すと発表しました（2019年7月）。ここで大きく問題なったのは、個人情報の収集法がサービスの利用者にとって分かりにくい、という点でした。

続いて米司法省がGAFAを念頭に反トラスト法違反の調査に乗り出すと正式表明し（2019年1月）、公取委がGAFA等の個人データの不適切な収集・利用を独禁法で規制対象とする方針を打ち出しました（2019年7月）。個人データが誰でも分かるルールで取り扱われることが大切なのです。

個人情報保護法2020年改正への方向性

今回の改正では、個人データの保護と利活用のバランスが重視されております。保護の観点では、ヨーロッパで浸透している「忘れられる権利」の確保策を現時点で企業に課すのは難しいと目されている反面、個人データの開示請求を受けた企業の対応については、当該データの利用停止を含む措置を認められる可能性がございます利活用の観点では、匿名加工情報は制限が厳しいため部分的な緩和や、情報銀行などの新ビジネスを推進する動きが見られます。

東京海上日動リスクコンサルティング株式会社　杉浦　基紀様

個人情報漏えい事故の傾向

IPA（独立行政法人情報処理推進機構）が発表している「情報セキュリティ10大脅威2019（組織編）」では、1位の「標的型攻撃による情報流出」を筆頭に、情報漏洩に関する項目が上位にランクインしております。また、システム・サービスの停止に関する項目も複数ランクインしました。今年の特徴としては、4位の「サプライチェーンの弱点を悪用した攻撃の高まり」を挙げることができます。これは、アメリカ大手小売業において、取引先の空調管理システム会社が不正アクセスされることで、そこが踏み台とされて、4,000万件規模のクレジットカード情報を盗まれるという、大規模な情報漏えいをきっかけに、近年注目の高まっているリスクです。

取引先になりすましたメールで金銭をだまし取る手口も珍しくなく、通常と1字だけ異なるアドレスから送られてきた億単位の請求書に支払ってしまった企業の事例も紹介されました。ランサムウェアの被害においては、数万円単位を仮想通貨で支払わせるという手口が多いそうです。通販サイトに不正ログインされ、クレジットカード情報を盗まれる事件では、パスワードの使いまわしで被害が広がりました。退職者のアカウントを削除していなかったために不正アクセスされるという事例もあり、「不正のトライアングル（機会、動機・プレッシャー、正当化）」を排除することが、リスクを低減する上で大切です。

情報漏洩の媒体としては、紙文書の紛失がまだまだ多く、生徒の健康情報が入っていたUSBメモリを共有が鞄ごと移動中の列車に置き忘れたという事件もございます。サイバー攻撃以外の情報漏えいも数多く発生しているのです。システムの誤操作に次いで、紛失・置き忘れ等が個人情報漏えいの「原因」として多いことは留意しておくべきでしょう。

個人情報漏えい事故が企業に与える影響

情報セキュリティ事故は、脅威と脆弱性が揃うと起こりやすくなります。データの改ざん・消失、システム麻痺・破壊といったインシデントが個人情報漏えいにつながり、事業者が刑事・民事責任を問われることもあります。行政指導や業務停止という重い処罰に及ぶ可能性もございます。社会的信用・イメージの失墜、取引停止による経営悪化など、間接的な不利益も無視できません。個人情報の漏えいは、様々な関係者に大きな被害をもたらすため、管理に関する常日頃からの意識が非常に重要です。

不正アクセス等の発生による情報漏えいが懸念される、という段階から費用が発生し、賠償に至らずとも様々な負担が必要となります。例えば、端末・のコンピュータに残された電子記録（ログ等）分析するフォレンジック調査では、PC1台あたり100～150万円ほどかかるとも言われています。迅速で誠実なお詫びも重要で、普段から広報対応の訓練が求められます。

情報セキュリティにおける対策

サイバー攻撃を受けてしまった時の対処としては、感染端末をネットワークから遮断します。LANケーブルを抜き、無線LAN機能を無効化し、外部通信やネットワークを遮断することで、感染を広がらないようにします。一方、感染時の状況について、当該端末の電源を落とさない、といった証拠保全に努めることも考える必要があります。

ビジネスパートナーや業務委託先の管理として、契約書に秘密保持関連項目を盛り込むことも大切です。特に委託業務として個人情報の取り扱いを含む場合には、その管理方法まで明確に指示しておくのが良いでしょう。また、外部のITサービスを利用する場合には、セキュリティ対策状況を確認し、サービス導入時の社内ルールも作成しておきましょう。

重要情報の持ち出しに際しては、管理者による承認を得、対象情報を管理台帳に記入しておくことで、万一の被害時にも程度を把握しやすくなります。可搬記憶媒体には、パスワードロックをかけることも忘れないように気を付けましょう。

メール送信時には、誤操作が大きなリスクなので、電子メールの添付ファイルは自社ルールに従って必ず暗号化するのが基本です。送信前に目視で送信先アドレスを確認するなど、誤送信を防ぐ工夫を徹底します。同時に多くの宛先にメール送信する場合は、BCCにすべきアドレスが無いかよく考えましょう。

ID・パスワードの管理においては、複数名で管理者ID・パスワードを使いまわすのは危険です。なりすましによる不正アクセス時に実行者を特定しにくくなってしまいます。ID・パスワードは、人に教えない、見られない、貸し借りしないこと。必要な長さのパスワードを使用し、定期的に更新する。同じID・パスワードを複数のサイトで使用しない、といった基本を守りましょう。8ケタ以上で英数、大小の文字、記号を組み合わせて強力なパスワードを設定するのも有効な対策です。

メールの開封時には、安易に添付ファイルやリンクをクリックせず、まず送信元・本文に「違和感」が無いかチェックします。気になることがあれば、連絡窓口へ迅速に報告しましょう。社内で標的型メール訓練を重ねることで、情報セキュリティの感性を磨くことも、地道ですが大切です。

媒体を廃棄するときは、ごみ箱から情報を抜き取る「トラッシング」というリスクもあるため、媒体ごとの廃棄方法を定めた自社ルールに従って、復元不可能な状態にしましょう。信用できる業者に溶解処理してもらうのも良いでしょう。

端末のセキュリティとして、OS、アプリケーション、対策ソフトなどを最新化し、脆弱性を無くしましょう。外部ネットワークに接続するPCに重要情報を保存せず、個人所有のスマートフォンをオフィスに持ち込まず、業務利用の制限で感染源を無くす仕組みやルールを徹底します。

単独で完全な対策は無いため、組織横断で取り組む課題として、「対策の多層化」で、リスクの低減を図る必要があります。情報セキュリティ対策は費用と考えるのではなく、「投資」と考えるのが大切です。多層防御の観点から、サプライチェーン（業務委託先）を含めて対策を講じるべきです。

東京海上日動火災保険株式会社東京中央支店の福島隆太様には、セキュリティ自己の損害賠償に十分対応するための「サイバーリスク保険」を本講演に伴い、ご紹介いただきました。1契約で包括的な保証内容となっておりますので、万一に備える上で、ぜひご検討いただければ幸いです。

情報管理とファイルサーバの見える化

セミナーの最後に、株式会社ワンビシアーカイブズコンサルティング部アーキビストの村上大輔から、情報管理の有力な手段として、ファイルサーバの見える化について講演させていただきました。情報資産管理事業において、50年来のパイオニアである当社がデジタル時代において、どのようなことから取り組めばよいのか解説いたします。

紙から電子の時代へ

ファイルサーバが高額だった以前と比べ、現在は単価も安くなり、デジタルデータの量は加速度的に増え続けています。それに伴い、自社が保有するデータでも、中身を把握することが分かりにくくなってきました。加えて、個人情報など、重要な記録として管理すべきデータが総量に占める割合も高くなってきています。

株式会社ワンビシアーカイブズ　村上　大輔

ファイルサーバの現状と課題

3,000万件近い個人情報が外部委託先から流出した企業の事例では、外部委託先には一定額の支払判決があったものの、流出元の企業には予見可能性が無く、指揮監督関係も無いと見なされ、地裁では賠償命令は下りませんでした。主な理由として挙げられるのは、電子でファイル（データ）の管理ルール等を整備・運用していたことです。仮にこうした対応を行っていなかった場合、損害賠償請求訴訟において、監督責任を問われていた可能性もあります。

営業秘密情報の漏えいも重大なリスクです。マニュアル、顧客名簿、取引先、各種単価など、ファイルサーバに格納されている情報も対象となります。あらかじめ「秘密」を社内ルールとして定義しておき、不正競争防止法上の対策（秘密管理性）も立てておきましょう。

自社の情報を把握できていない場合、訴訟等の開示請求時に不利益を被る可能性も考えられます。必要な情報を出すべきタイミングで出せない、ルールがない、統制できていない、という実態が明らかになると、情報の証拠性自体が認められなくなる恐れもございます。

情報を適正に廃棄していくルール策定も忘れてはなりません。情報を持つ量が増えるほど、流出リスクが高まります。ルールに則って捨てることで、廃棄の正当性を証明できるようにしましょう。ただし手動ですべて行うのは大変なので、自動化できることが無いか検討し、社員に負担を掛けず、運用可能な内容とすることも大切です。

当社では、実態調査、研修・説明会、各種支援（紙文書の削減整備、分類・保有期間設定、ファイル改善作業、文書管理台帳作成）から成る文書管理コンサルティングについて、民間企業60社以上、中央省庁ほか、全国で70以上の市区町村でサービス提供の実績を有しております。近年では、これまでの豊富なノウハウを元に、ファイルサーバーコンサルティングサービスを提供しております。

ファイルサーバ現状調査では、フォルダ構成や電子ファイルの種類を把握します。その後、ファイルサーバに保管する電子ファイルの種類を定義し、ワークフローシステム、文書管理システム等に、何を保管するか決めていきます。また、経済産業省「営業秘密管理指針」に基づき、営業秘密に該当するものに機密区分を設定します。そして、廃棄の運用を定めることで、不要な情報を持ち続けることによるリスク低減を図ります。これらの運用を電子文書管理ルールとして提案させていただきます。

本セミナーの内容が貴社の情報管理にお役立て頂ければ幸いです。ご相談がございましたら、ぜひお気軽にご連絡ください。