オフィスのIT化が進んでいる現代、企業の情報はマウスをワンクリックするだけで簡単に閲覧できるような時代になりました。しかしその代償として高まってきたリスクも存在します。それは「情報漏洩」です。機密としている情報が外部に漏洩するような事態になったら、社会的に大きな信用問題に関わります。社を挙げて情報漏洩を防ごうと考えた時、従業員個人個人のヒューマンエラーは最もチェックするべき事項と言えるでしょう。今回は、その課題を実例も挙げながら考えていきます。
従業員のヒューマンエラーによる企業の情報漏洩には様々な要因が考えられます。どういった種類があるのか、見ていきましょう。
まずは、メールやFAXの送信時に起こり得る間違いです。一つのボタンで簡単に実行できる場合が多いので、よく確認しないと間違った宛先に送ってしまう事が考えられます。他にも添付ファイルを間違えたり、そもそも設定を間違えているのに気づかず送信してる場合などは最悪のケースと言えるでしょう。気づく前に相当数の情報漏洩が起こっている恐れもあるからです。
次に考えられるのは、データの紛失や置き忘れなどです。特に、重要なデータをUSBメモリなどに保存して外へ持ち歩く時に発生しやすいヒューマンエラーと言えます。書類の形のものを外出先で紛失する、というケースは昔から見られた事例ですが、データ化された現代においては持ち歩く対象物が非常に小さくなっているので、紛失の可能性もより高くなっていると言えるでしょう。
3つ目はオフィスで使っているPCがウイルスに感染した場合です。誰から送られてきたか分からないメールに添付されているファイルをうっかり開いてしまい、ウイルスに感染。他の人が使っているPCも雪崩式に感染してしまい、勝手に外部へ情報漏洩が起こってしまうという事態です。これもある意味、送られてきたメールをよく確認せず閲覧してしまった不注意が起こしたヒューマンエラーと言えます。
1955年に福武書店として事業を開始、小中高校生を対象とした通信教育を主な活動の柱とし、1995年に名称をベネッセコーポレーションとしたこの企業は、学生の勉強のサポートを長年の間行ってきました。
しかし2014年7月、ベネッセに登録している会員の情報(住所や電話番号といった個人情報)が外部に流出していることが判明し、世間に衝撃を与えたのです。その量は何と3,000万件以上。会員の保護者から多くの苦情が寄せられました。
しかし幸いにも事件は早期に解決します。調査の結果、ベネッセグループの企業に派遣社員として働いていたエンジニアが犯人とわかったのです。2013年頃からセキュリティの隙をつき、情報を盗み出して名簿業者に売っていたことが発覚しました。驚きとともに、経済産業省が事態を重く見てベネッセに注意喚起を促すなど、個人情報を保護する事の重要性を改めて気づかされる機会ともなったのです。
この事例で浮かび上がってくるのは、個人を識別できる様々なデータを「意図的に」情報漏洩させる従業員も存在し得る、という事です。管理体制の不備といったヒューマンエラーが大事件に発展してしまった好例と言えるでしょう。
企業の機密情報漏洩を防ぐためにはどうすれば良いのか、検証していきましょう。
まず根本的な施策とも言えるのが、従業員一人一人の意識改革です。事が起こってしまってからでは遅いので、普段からヒューマンエラーを起こさないように各自が自覚を持って仕事に取り組む事が基本的な情報漏洩への防御策と言えるでしょう。
仕事中における個別の対策はどのようにすれば良いかを次に見ていきます。
メールを送信する前には、必ず送信者、CC、BCC、そして添付ファイルがあればそれもしっかりと最終確認をする。情報漏洩の恐れがないか、所属課の上司に念のためCCで送っておき、チェックしてもらえば万全と言えるでしょう。
FAXにおいては、送信前にできるだけ多くの人が送り先などを目視等で確認する。FAX番号の打ち間違いの可能性もあるので、自動短縮ダイヤルで登録しておく、などの対策が考えられます。
データを外部に持ち出すときの対策としては、そもそも外部に持ち出す機会を少なくするのがベターですが、あらかじめ暗号化しておけば万が一紛失した時も安全と言えるでしょう。そして、安易に外部のPCなどに接続しない事も重要です。ウイルスに感染する可能性が無いとも言えないので、持ち帰って接続した時に社内中のPCが感染してしまう、という最悪の事態も頭に入れておいた方が良いでしょう。
情報漏洩を防ぐために、企業側がヒューマンエラーを可能な限り防ぐ努力も必要となってきます。最も適切な方法は、普段の仕事の中において、特に情報漏洩の部分についての禁止事項を明確にルール化しておく事でしょう。
情報漏洩は、ヒューマンエラーを管理すべき体制が徹底されていない場合が原因である事も多いのです。「自分は様々な企業内の情報を大切に扱わなければいけない」という意識が低く、無意識の内に注意力、判断力が鈍っているケースがあるかもしれません。ルールを明確化することで、従業員一人一人の情報に対する意識も高くなっていきます。実際に現代の企業では、新規に従業員を雇用する時に、契約書に個人情報に関する守秘義務を明記しているケースも多くなっています。
ヒューマンエラーを起こさないためには、企業内のシステムを頑強にしておく必要もあります。メールやクラウドサービス、外部の記憶媒体に対する監視体制を強化する事で、一人の従業員がうっかりミスを起こしたとしてもシステム側が未然に防いでくれる、という効果が期待できるのです。こうしたシステムは特にIT業界において体制が整っている傾向がありますが、後から社内システムを取り入れた企業はまだ整備が進んでいない状況があります。
人間誰しもちょっとしたミス、というものはあります。全てを防ぐ事は不可能に近いでしょう。しかし、それが企業の情報漏洩という事態につながってしまう事は避けなければなりません。企業側が環境整備を行う事はもちろんですが、それ以上に個人個人が、自分は企業の一員である、という自覚を持ち、普段からケアレスミスへの意識を高くしておけば、情報漏洩を防ぐ事にもつながるでしょう。
