企業のデジタル化が進みテレワーク・リモートワークなどの普及により、従業員の働き方が柔軟になりましたが同時に機密情報や個人情報など情報漏洩のリスクが高まりました。情報漏洩は社内と外部の両方で起こり得るため常に危険と隣り合わせです。

内部不正や悪意のある第三者からのサイバー攻撃により情報漏洩だけではなく、企業情報の削除・窃取・改ざん・破壊などのリスクがあるため、社内・外部からの情報漏洩対策が求められます。

この記事では、企業の情報漏洩を防ぐための効果的な社内対策や原因と、情報流出から企業を守る3原則などについて解説していきます。

1.企業で情報漏洩が起きてしまう原因

企業で情報漏洩が起きてしまう原因は「社内による情報漏洩」・「外部による情報漏洩」があります。

社内による情報漏洩

社内による機密情報・個人情報の情報漏洩は、パソコンやスマホ、タブレットなどのデバイスをインターネットに接続中に、誤操作による人為的ミスが多いです。従業員が社外に共有するべきではない情報を、取引先や関わる企業に誤って電子メールの送信、マルウェアやコンピュータウイルスに感染しているWebサイトの閲覧、ファイル、ソフトウェアのダウンロードをしてしまうことが挙げられます。

その他にも、外出先でデバイスの紛失・置き忘れ、社内の機密情報・個人情報の管理体制が不十分で簡単に情報を外部に持ち出せる環境など、社内による情報漏洩のリスクは色々あります。

外部による情報漏洩

社内で企業の機密情報・個人情報の情報漏洩に気をつけていても、ネットワーク機器への悪意がある第三者のサイバー攻撃や不正アクセス、社外から持ち込まれたIT機器、USBなどから外部による情報漏洩のリスクもあります。悪意のある第三者がマルウェアを仕込んだ怪しい電子メール・URL・ファイルなどを、従業員が使用するデバイスに送り開封やクリックすると重要なデータが情報漏洩する可能性があります。

自社HPがある企業はサイバー攻撃や不正アクセスの被害を受けて、機密情報や個人情報が情報漏洩してしまうかもしれません。また、従業員がマルウェア感染したUSBやIT機器を持ちこむなど、社内だけではなく外部からの情報漏洩のリスクも考えられます。

2.情報漏洩を防ぐ効果的な社内対策とは？

情報漏洩を防ぐための効果的な社内対策を8つ解説していきます。

1. 企業情報を気軽に持ち出さない
2. 社外情報を不要に持ち込みしない
3. 企業情報を安易に放置・廃棄しない
4. 報告・連絡・相談を徹底する
5. 機密情報は鍵をかけて保管する
6. 怪しいWebサイト・メール・ファイル・URLは開かない
7. 企業情報の口外や無許可で権限を譲渡しない
8. 情報漏洩対策ソフトを導入する

1.企業情報を気軽に持ち出さない

企業情報を簡単に持ち出せると、外出先や移動中に書類・デバイスの置き忘れや紛失に繋がります。パソコンやタブレット、スマホなどのデバイスを紛失・置き忘れによる情報漏洩対策として、社内でIT機器や情報の取り扱いルールを定めて徹底し、企業情報を気軽に社外へ持ち出さないように従業員の意識改革が必要です。

2.社外情報を不要に持ち込みしない

悪意のある第三者が仕込んだマルウェア、コンピュータウイルス感染を防止するためには、外部からネットワーク機器やUSBなどを持ち込み、社内システムに接続しないようにしましょう。

また、支給されたパソコンやスマホ、タブレットなどの端末やメールアドレスは、仕事と私生活の両方で使用しないなど、社外情報を不要に社内に持ち込まないようにすることが情報漏洩対策として効果的です。

3.企業情報を安易に放置・廃棄しない

企業情報の情報漏洩は従業員による内部犯行も考えられるため、機密情報や個人情報が記載されている書類、入力されているUSB、デバイスなどを安易に社内で放置・廃棄するのは危険です。

従業員が離席する際は、書類やデバイスをデスクの上に放置したり勝手に廃棄したりしないようにすることが大切です。書類はシュレッダーまたは処理業者に融解処理を依頼し、デバイスは専用ソフトを使用してデータの完全削除、修復不可能レベルまで破壊したりなどの情報漏洩対策をしましょう。

4.報告・連絡・相談を徹底する

従業員が自己判断で行動していると、情報漏洩による被害が拡大したりする恐れがあります。社内での情報漏洩対策として、従業員に取り組んでいる業務の進捗状況や企業情報の取り扱いに関して、報告・連絡・相談を徹底させて社内で情報共有することが大切です。

5.機密情報は鍵をかけて保管する

外部に流出させてはいけない機密情報や個人情報は、社内で簡単に閲覧できる状態、乱雑に扱うなどしていると情報漏洩のリスクが高くなります。従業員の誰もが企業情報を取り扱えるようにするのではなく、役職者だけが見られるところに鍵をかけて保管するなど、情報漏洩の被害を防ぐためのリスク管理が大切です。

6.怪しいWebサイト・メール・ファイル・URLは開かない

業務に関連性の無い怪しいWebサイトの閲覧、不審なファイル・URLが添付されたメールは開かないようにしましょう。怪しいWebサイトを閲覧しただけで、マルウェア感染や情報漏洩に繋がる恐れがあります。

悪意のある第三者がファイル名やメールの件名に、請求書・納品書・社内連絡など取引先や従業員になりすまして記載し、マルウェアを仕込ませている場合があるので注意が必要です。

7.企業情報の口外や無許可で権限を譲渡しない

情報漏洩対策のガイドラインを定めて従業員全員に周知し、セキュリティ教育を行っていても、たった一人の従業員が企業情報の口外や、使用しているデバイスの権限を第三者に無許可で譲渡すれば情報漏洩は起こり得ます。従業員一人ひとりがIT・情報リテラシーを高めて、企業情報の口外や無許可でデバイスの権限を第三者に譲渡しないように心掛けなければいけません。

8.情報漏洩対策ソフトを導入する

社内システムや従業員が使用するデバイスを、サイバー攻撃や不正アクセスの危険から守るためには、情報漏洩対策ソフトを導入するのも社内対策として効果的です。情報漏洩対策ソフトは、企業情報の窃取・持ち出し防止やアクセス制御などの機能を備え、社内の機密情報や個人情報が外部に流出しないように対策するソフトウェアです。

3.情報漏洩から企業を守るにはセキュリティ対策の3原則も意識

情報漏洩から企業を守るには、セキュリティ対策の3原則も意識する必要があります。

• 最新版のウイルス対策ソフトを導入する
• デバイスのOS・ソフトウェアを更新する
• ID・パスワードを厳重に管理する

最新版のウイルス対策ソフトを導入する

企業の機密情報や個人情報の情報漏洩を防ぐためには、積極的なセキュリティ対策を行うことが重要です。ウイルス対策ソフトを導入して、悪意のある第三者からのマルウェアやコンピュータウイルスの感染被害を防止します。ウイルス対策ソフトを導入する時は、常に最新版のセキュリティソフトを活用しましょう。

デバイスのOS・ソフトウェアを更新する

セキュリティソフトと同様に、デバイスのOS・ソフトウェアも最新の状態になるように更新するべきです。ウイルス対策ソフトやデバイスのOS・ソフトウェアのバージョンが古いと、新種のウイルスがセキュリティを突破したり、脆弱性が発見されてセキュリティホールを狙われサイバー攻撃を受けたりする可能性があるので注意が必要です。

ID・パスワードを厳重に管理する

悪意のある第三者からの不正アクセスや企業情報の情報漏洩を防ぐために、セキュリティ対策として、従業員へ使用するデバイスやインターネットサービスのID・パスワードを厳重に管理するように求める必要があります。さらに、ID・パスワードは推測されにくいものや定期的に変更したり、ユーザー認証をする画像認識・二段階認証などを導入してセキュリティの強化が大切です。

4.まとめ◆情報漏洩を起こさない事前の対策を

パソコン、スマホやタブレットなどのデバイスを従業員に支給している企業は、社内以外にも外出先や自宅での仕事が可能になるため、経営陣は社員の働きぶりを個々に監視・管理することが難しくなります。不特定多数の他人の目に大切な企業の機密情報や、個人情報が触れる機会が多くなると情報漏洩のリスクが高くなり危険です。

インターネットにデバイスを接続して作業を行うと、悪意のある第三者のサイバー攻撃により企業が被害に遭う恐れもあるので、社内・外部の両方において効果的な情報漏洩対策やセキュリティ対策を実施することが大切です。