個人情報の漏えいリスク&適切な取り扱い方法を知ろう
個人情報の取り扱いは、どのような企業においても慎重にならざるを得えないものです。インターネット利用が一般化し、社内外で多くの情報を取り扱うことによる個人情報漏洩リスクに対して、企業は細心の注意をはらう必要がでてきています。
今回は、個人情報漏洩から考えられるリスクや適切な取り扱い方を解説します。
目次[非表示]
- 1.個人情報漏洩で考えられるリスク
- 1.1.大損害による金銭補填
- 1.2.機会損失が起きてしまう
- 1.3.インサイダー取引による処罰を受けることも
- 1.4.信用低下による業績悪化
- 1.5.最悪の場合は倒産に陥ることも
- 2.個人情報が漏えいしてしまう主な原因
- 2.1.原因①:ルールに違反した管理方法
- 2.2.原因②:誤操作による漏えい
- 2.3.原因③:管理状況が把握できていない
- 2.4.原因④:データの持ち出しや紛失
- 3.個人情報漏洩に対する企業側のリスクヘッジ手段
- 3.1.企業でのリスクヘッジ手段
- 3.2.個人でのリスクヘッジ手段
- 4.個人情報を厳重に取り扱うためには?
- 4.1.適切な情報管理が最善策
- 4.2.バラバラな情報を手間なく管理するために
個人情報漏洩で考えられるリスク
個人情報の漏えいは、企業経営に大きな打撃を与え、最悪の場合、倒産の危機を招く恐れがあります。そのため、企業はあらゆるリスクを把握し、「個人情報漏洩」「個人情報流出」に対して徹底した対策を行わなければなりません。では、どのようなリスクがあるのでしょうか?5つのリスクに焦点をあて説明します。
大損害による金銭補填
個人情報漏洩事故の中には、クレジットカード会社や銀行が顧客情報を漏えいしたことで多額の金銭補填を行ったケースが多々あります。不正利用された金額や慰謝料などは、企業の負担となります。
主な要因としては、企業側の人為的なミスやシステムの不具合などが挙げられます。過去の事例を振り返ると、1人あたり5,000円〜10,000円ほどの慰謝料を支払うケースが多く、企業経営に大きな影響を与えています。
機会損失が起きてしまう
個人情報の漏えいは、金銭的な損失だけではありません。漏えい事故が起きると、被害を最小限にするため社内リソースのほとんどが補填業務に充てられます。その結果、通常業務に支障をきたし、機会損失につながることもあります。また、営業停止に陥った場合には、多くの工数を補填業務に割くため、販売機会を失うことになり、企業利益の減少にもつながります。このように、個人情報の漏えいはあらゆる角度から企業に悪影響を与えていることがわかります。
インサイダー取引による処罰を受けることも
個人情報漏洩は、法的に処罰されるリスクもあります。その一つがインサイダー取引です。株価に影響する情報を事前に漏らす、または流出してしまうことは、金融商品取引法(166条、167条、167条の2)に抵触します。故意に情報を漏らして不正な株取引などを行えば、刑事罰の対象になります。また、繰り返し情報漏洩が続くと悪質なインサイダー取引とみなされることもあります。社員のセキュリティへの意識づけ、社内セキュリティ強化が重要となります。
信用低下による業績悪化
当たり前ですが、顧客情報が漏えいすれば企業の信用を失います。例えば、利用している銀行で「顧客のデータが漏えいした」と知ったら、大事な資産を預け続ける顧客は減るでしょう。このように一度失った企業の信用回復は難しく、顧客の減少が食い止められない場合もあります。その結果、業績が悪化することも考えられます。
最悪の場合は倒産に陥ることも
企業が失った損害金や信用を回復するには、かなりの時間が必要です。特に事態の発生から初動が遅いとなかなか回復は難しいと言えます。事態をすぐに公表し、顧客や関係者への謝罪や各種対応を取ることが大切です。
また、誠意ある対応を取らなければ信用回復もしづらく、再度利用・契約していただくために円滑な対応ができないとその後は顧客は減る一方です。最悪の場合は顧客が離れ続け、企業の倒産も考えられます。
個人情報が漏えいしてしまう主な原因
個人情報の漏えいには多大なリスクがあることがわかりました。では、なぜそのようなことが起きてしまうのでしょうか。そこで、個人情報が漏えいしてしまう4つの原因を解説します。
原因①:ルールに違反した管理方法
企業では個人情報の取り扱いについてルールや規定を設けています。業界や業種により取り扱う個人情報も異なるため、管理ルールを独自に設ける場合もあります。
その管理ルールが守られず、個人情報漏洩につながることがあります。例えば、「書類をシュレッダーにかけ忘れる」「パスワードロックをしていない」などが挙げられます。最近ではペーパーレス化が進んできていますが、申込書など各種書類で個人情報を扱う企業は少なくありません。情報書類を多く抱える業界では管理ミスも起きやすいといえるでしょう。
原因②:誤操作による漏えい
インターネットやシステム・ツールの利用時に起きやすいのは、誤操作による個人情報の漏えいです。添付する資料や宛先の間違いにも情報漏洩リスクがひそんでいるため、顧客や取引先とのメールのやり取り、FAXの受送信などは十分に注意する必要があります。人為的なミスは起こりやすいので、日常業務の運用における防止策が必要でしょう。
原因③:管理状況が把握できていない
個人情報の管理ルールを定めても、社内でどのように管理しているか把握できないことも情報漏洩につながります。
管理ルールに不備がある場合は、個人情報の管理状況を把握するのは難しくなるでしょう。しかし、個人情報の取扱いフローが複雑すぎるとその過程でミスが増える可能性もあります。様々な管理ルールを含めて、どのように個人情報を管理しているかしっかりと現状を把握し、問題があれば適宜改善していくことが必要です。
原因④:データの持ち出しや紛失
データ化した個人情報は簡単な移動や持ち出しができてしまいます。「家に持ち帰って仕事をしよう」と、容易に個人情報の持ち出しができてしまうと紛失や置き忘れのリスクがあります。また、USBメモリやハードディスクなどの記録媒体で持ち出す際にそのリスクは高まります。
資料や個人データの持ち出しを可能にしている企業は要注意すべきであり、改めて管理体制を見直すべきでしょう。家に帰って仕事をすることは悪意のない行為ですが、そこにも情報漏洩のリスクがあることを理解しておく必要があります。
個人情報漏洩に対する企業側のリスクヘッジ手段
個人情報の漏えいはあらゆる環境下で起こりうるため、企業と個人の相互でリスクヘッジを行う必要があります。では、企業と個人のそれぞれでリスクヘッジ手段を解説します。
企業でのリスクヘッジ手段
企業でのリスクヘッジ手段には社員研修やセキュリティ強化などがあります。個人情報保護に関して管理ルールや法への抵触を「知らなかった」では済まされない時代になっています。
従業員に個人情報管理について周知し、ルールを守ってもらう必要があり、特に昨今ではSNSを中心に便利なツールも増えています。何気ない投稿が個人情報の漏えいとなり、自社の損失につながる可能性もあります。
個人情報の取り扱いについて、社員一人ひとりのリテラシーを向上させることは非常に重要です。社内で研修制度を整えられない場合は、外部講師を招いた研修会や講習会なども考えられます。管理職向け、一般社員向けなど状況に応じて研修を受けさせることで、一人ひとりに個人情報の重要性を意識させることができます。
また、社内のネットセキュリティ強化にも取り組みましょう。社内の情報共有をスムーズにするために、あらゆる端末から重要情報へのアクセス許可をしている場合は特に注意するべきです。アクセス制限による、各情報の所有者や担当者のみが情報を確認できる環境を整えておくと良いでしょう。さらに、端末の置き忘れや盗難の時に備え、あらかじめロックをかけておくことが、個人情報漏洩の被害を防ぎ、被害を最小限に防ぐことができます。書類の印刷では、印刷物の置き忘れや放置に対応するために個人認証を導入すると効果的です。印刷機器まで本人が行かないとプリントアウトできないため、誰が印刷したかわかりやすくなります。データの暗号化がセキュリティ強化となり、USBメモリ などの記録媒体に移したとしても簡単に読み取りができなくなります。
このように、社員研修や具体的なセキュリティ強化に努めることが企業でできるリスクヘッジ手段です。
個人でのリスクヘッジ手段
個人でのリスクヘッジ手段は、細かな行動によるものが多いです。具体的には以下の手段があります。
- 個人情報を許可なく持ち出さない(持ち出し制限)
- 離席するときはスクリーンセーバーを起動する
- パソコン立ち上げの際にはパスワード入力の設定にする
- 個人情報の書類などを未対策のままで廃棄しない
- IDやパスワードを他者に教えない
- 個人情報の取扱いや漏えいがあった場合は事態を共有する
個人情報がわかる書類や記録したCD-ROM、ハードディスク、パソコン本体を廃棄する際も対策が必要です。書類をシュレッターにかけないまま一般ごみに混ぜたり、データ消去しないままパソコンを廃棄したりしないようにします。また、個人情報を管理するシステムにアクセスする際のIDやパスワードを、他者に教えないようにしましょう。当たり前に思えますが、「今回だけだから」と安易に教えてしまうと個人情報の漏えいにつながります。また、自分が扱っている個人情報の管理状況や使用状況を共有することも重要です。万が一、情報漏洩があれば、すぐに上司や管理者に伝えましょう。
以上が全てのリスクヘッジ手段ではありませんが、個人レベルで対策できることの一例として企業側から従業員へ周知しておくべきです。個人が各々に気をつけることで、大きな損害を負うことを防ぐことに繋がります。また、社内で使用するパソコンから個人情報へのアクセス時には、アクセスを記録する仕組みや機能があれば、お互いに安心することができます。
個人情報を厳重に取り扱うためには?
個人情報を厳重に取り扱うためには、企業と個人でのリスクヘッジ手段を実行することが大切です。また、企業側は、社員が個人情報を取り扱いやすい環境を提供することも必要です。お互いが厳重に個人情報を取扱うために最適な方法をご紹介します。
適切な情報管理が最善策
個人情報を適切に管理するためには、正しい場所へ個人情報を格納することが大切です。極端な例ですが、個人情報が記載されている書類を鍵のかからないキャビネットに保管していたらどうでしょうか。個人情報の漏えいリスクが極めて高いです。書庫などで管理する際も、鍵の管理者を決めることや使用者がわかるようにすることも必要です。
しかし、そもそもオフラインで個人情報を管理すること自体が危険であるという視点でも考えることができます。オンライン管理による利便性が高まっており、個人情報は第三者が簡単にアクセスできない環境で保管することが容易になります。
また、個人情報の管理がすぐに可視化できるかもポイントです。「誰が、いつ、どの情報を、どれだけ使用した」という状態や管理ルールに従って使用しているかなどを可視化することでセキュリティ対策になります。不要なデータを消去して、漏えいを避けたい個人情報の現状把握も必要でしょう。
バラバラな情報を手間なく管理するために
企業が取り扱う情報は個人情報だけではありません。取引先の情報や社内情報など多岐にわたります。社内のどこにどんな個人情報が保管されているかわからなければ、厳重に管理しているとは言えません。
バラバラな情報を管理するには管理ツールやシステムを活用してみましょう。アララが提供する「P-Pointer File Security」はパソコン・サーバ向けの個人情報検出・管理ツールです。
パソコンやファイルサーバの「どこにどんな個人情報が散らばっているのか」を検出することができます。検出したい個人情報の定義はツール上で定めることができるため、細かな設定により漏れの無い検出が可能です。例えば、「住所」「マイナンバー」「メールアドレス」「電話番号」を各50件以上、と設定した場合にはそれに該当するデータのみが検出されます。管理(保管)ルールに違反しているファイルを洗い出すことができるため人手による仕分けの手間が省けます。
検出後は、自動/手動で移動や削除などの対処を行うことができます。また、管理者は検出結果と対処内容を確認できるため、個人情報漏洩リスクの低減だけでなく、従業員のセキュリティ意識向上への教育手段とも言えます。
個人情報の管理や情報漏洩対策に検討してみましょう。
\P-Pointer導入企業様の事例はこちら/
\PCに個人情報を置き忘れていないか「無料体験版」でチェック/