fbpx

情報セキュリティにまつわる
お役立ち情報を発信

情報漏洩を防ぐコンプライアンスについて徹底解説!


昨今、情報漏洩への対策は全ての企業に求められています。また、その原因は多種多様であり、徹底した対策が必要です。
例えば、日頃の不満を解消するための飲み会でも、愚痴の内容によって、個人情報が漏れかねません。個人情報漏洩は小さな場面から発生しますが、企業の存続にかかわる大変大きな問題です。
この記事では、意外に知られていないコンプライアンスの実態、そして情報漏洩との関係性について徹底解説します。コンプライアンスについて学び、情報漏洩の危険から逃れましょう。

コンプライアンスってなに?

コンプライアンスという言葉は、誰もが一度は見聞きした経験があると思います。しかし、コンプライアンスは、法律、社内ルール、企業倫理など、広範囲の事を指しており、明確なイメージを持つことは難しいと感じている企業の担当者の方も多いでしょう。
コンプライアンスとは、企業経営において主に「法令遵守」という意味で使われています。その他にも、社内ルールを守れているか、社会の規範や倫理観から外れていないか、道徳に反するものではないかというような広い意味を持っています。コンプライアンスの違反が情報漏洩の原因となり、情報漏洩は企業のコンプライアンス違反を表していると言えます。

情報漏洩によるコンプライアンス違反事例5選

現在、大手から中小企業まで全ての企業や公的機関での情報漏洩が多数発生しています。個人情報漏洩に対する法律が存在するのにも関わらず、この状況です。情報漏洩はコンプライアンス違反事例の一つで、近年最も重要な問題となっています。情報漏洩の可能性がある場面を事例を交えながら解説します。

①メールの誤送信

個人情報が漏洩することはコンプライアンス違反となるのが当然ですが、ビジネス的な繋がりが外部に漏洩することも同様です。下記はその一例です。
・日本郵政は10日、取引先の建設業者ら約7,500のメールサービス登録者に対し、登録者名やメールアドレス、電話番号、住所を一覧にしたエクセルファイルを、8日にメールで誤送信するミスがあったと発表した
ビジネス的な繋がりのある個人情報が漏洩することで、これらを悪用し、ビジネスを仕掛ける企業も多いでしょう。貴重な情報を送信する際は、ミスを防ぐ仕組みを整えた上で、しっかり確認する必要があると言えますね。

②株主の個人情報流出

株主の個人情報が漏洩する可能性もあります。
・サンリオは、株主向けサイトに登録した同社株主の電話番号などの個人情報が漏洩し、お詫びの品として漏洩可能性のある6249人にクオカード1000円を送付した
このように株主の個人情報が流出することで、何らかの二次被害は必ず起こり得ると言えるでしょう。このサイト運営会社は大規模な企業の情報を管理しているのにも関わらず、セキュリティのレベルは低く、セキュリティの根幹の部分がハッキングされ、個人情報が抜き取られたようです。
担当者は、自社だけでなく、個人情報を取り扱う運営会社などのコンプライアンスもチェックする必要があると言えます。

③企業秘密情報の流出

企業の機密情報が流出すると、他社に先手を打たれる可能性、開発中製品が盗作される可能性、信頼を失う可能性など、企業にとって大ダメージとなることが否定できません。
昨今では、新型コロナウイルスの影響もあり、在宅勤務が増えています。その環境によっては回線を傍受されたり、パソコンを見られたりということが起こり得ます。意図せぬうちに会話の話題にしてしまうことも想像できます。記事の冒頭でも述べましたが、飲み会などの気が緩む場面では、企業秘密に関わる話題はしないように注意喚起を行いましょう。また、スマートフォンの通知画面から情報漏洩が起こる場合もあります。業務用と私用の端末が一緒になっている場合も注意が必要です。

④顧客情報を第三者に聞かれる所で話す

例えば、飲食店で顧客の話をする場合です。会社内であれば問題ないのですが、飲食店は第三者が多数出入りする場所です。当然、会社が保有する個人情報に関わるような話をするべきではありません。第三者のいる場面でのオンラインでの飲食も同様です。外部から録音されている可能性もありますし、特にオンラインではハッキングなどの可能性も大いに考えられます。
顧客情報の流出は信用の失墜に直結し、事業継続困難になる可能性や金銭的な損失を生む可能性もあります。企業の担当者の方は特に注意を払い、対策を実施しましょう。

⑤再委託先が顧客データを持ち出して売却

個人情報漏洩に関して、企業にとって最も脅威なのは損害賠償責任でしょう。仮に一件当たりの金額が少なかった場合でも、顧客数が増えれば増えるほどその総額は跳ね上がります。情報漏洩の事例として下記を紹介します。
・ある企業は、システム面の管理はグループ企業へ委託しており、管理業務は他社へ再委託した。再委託先の社員は顧客情報を私物の電子端末を用いて持ち出せることに気がつき、持ち出して販売していた
この事例はコンプライアンス違反が招く、個人情報漏洩事件です。情報漏洩を防ぐためには、作業量や情報量が多く、関わる会社も多い企業ほどコンプライアンスを徹底する必要があると言えます。直接情報漏洩したわけではないが、情報漏洩した会社であるというイメージがついてしまう可能性があります。

情報漏洩が起こる原因5選

情報漏洩によるコンプライアンスの違反事例について紹介しました。
情報漏洩は、どんな会社でも常に隣り合わせであり、いつ起きてもおかしくないと理解できたのではないかと思います。
次に、従業員の情報漏洩が起きてしまう原因を5つ紹介します。

①コンプライアンス知識の欠如

情報漏洩が起こる原因としてそもそもコンプライアンスを理解していないという場合が意外とあります。
何をすれば情報漏洩が起きて、コンプライアンスに違反しているのか、境界線がわからないという場合があるので、担当者が従業員に対する教育をするなど、対策が必要です。

②法律知識の欠如

二つ目の原因は、法律に関する知識が浅い事です。企業が適用される全ての法律を事前に知っておくことは難しいですが、従業員に関連する法律は知っておかなければ「うっかり」や「知らなかった」が原因の情報漏洩、コンプライアンス違反が発生してしまう可能性があります。
経営陣や役職がついている社員、担当者の方が企業に関連する法律知識を持っている事はもちろん、全社員が自身の業務に関する法律知識を持っておくことで、リスクを下げられます。

③情報漏洩を起こす「動機」を作っている

特に営業職の方が科されることが多い「現実的ではないノルマ」は、到達出来なければ上司から追い詰められてしまうことがあります。従業員がコンプライアンスを意識する余裕がなくなってしまう可能性や不正を働く原因となってしまいます。
そのほかにも、「給料が安い」「上司との信頼関係が崩れている」など、会社に対して不満を持てば、原因となってしまいます。
また、これらで、精神的に追い詰められる事から、社員の退職や社員のうつ病発症などの原因ともなるので、注意が必要です。
ミスを防ぐだけでなく、不正の動機を作らないために、待遇の改善や信頼関係の構築も求められます。

④内部に防ぐ仕組みの欠如

内部に情報漏洩を防ぐ仕組みとして欠かせないのが、マニュアル、内部監査、研修など社員の意識向上や知識を補う機会を与える事です。人間は失敗をしてしまう生き物であり、従業員のそれぞれの意識だけではコンプライアンス遵守を徹底することは難しいです。
業務の一環として少なくとも上記3つの仕組みは作成しましょう。

⑤情報漏洩が起きる「機会」を作っている

業務終了後、会社のパソコンを持ち帰っている従業員を飲み会などの食事に誘っている上司が見受けられるのではないでしょうか?また、業務中に従業員一人の時間帯などないでしょうか?このように情報漏洩が起きてしまう機会を無意識のうちに作ってしまうことも少なくはないはずです。リスクマネジメントの原則として、情報漏洩について対策し、教育する仕組み、動機を作らない工夫をすることも大切ですが、最も根幹となるのは、機会を減少させる事です。担当者の方は、そのような機会が作り出されていないか、入念に確認し、そこに対する対策も実施する必要があります。

情報漏洩を起こさない対策4選

情報漏洩の事例に続き、その原因についても解説してきました。解説してきた原因に当てはまり、危機感を感じている担当者の方は、早急な対応をしましょう。
次に情報漏洩を起こさない為の対策を紹介します。

①研修の実施

一つ目の情報漏洩への対策はコンプライアンス研修の実施です。
コンプライアンスの境界線を明確にし、意識向上を目的に社内研修や勉強会を定期化すると良いでしょう。内容は、座学に加え、グループワークを用いることで、インプットだけでなく考えを共有し、主体性を持たせる仕組みを作成することで、より効果的な意識向上を目指しましょう!また、社外から、専門家や講師を招き、実施することも検討してみてください。

②マニュアルの作成

二つ目の情報漏洩への対策はマニュアルを作成する事です。
コンプライアンス違反を防ぐためには、違反事項を記載したマニュアルを作成する必要があります。会社外へのデータ持ち出しや、会社で知った情報をSNSや公共の場で発言することを禁止するなど、具体的な場面を想定して共有しましょう。また、常識で考えればするはずがないと思っている部分まで明文化することがポイントとなります。
社内規則やマニュアルを作成し、個人情報漏洩などのコンプライアンス違反を未然に防ぐことを徹底しましょう。

③労務管理ルールを作成

三つ目の情報漏洩への対策は、労務管理ルールを定めることです。
労働基準法など、労務関連法に従い、必要な労務管理ルールを定めている企業が多いでしょう。しかし、ルールが形骸化しているケースや周知されていないケースもあります。
正しいルールを周知させる事で、長時間労働などで起こる社員の負担を軽減し、情報漏洩などのコンプライアンス違反が起こりにくい環境を作り挙げましょう。
まずは、労務管理ルールに沿って勤務できているのか確認してみるのはいかがでしょうか。

④コンプライアンス管理体制の構築

四つ目の情報漏洩への対策は、社内のコンプライアンス体制を構築することです。
もっとも重要なのは、問題が起きた時に対応できる部門を作成する事です。社員からの報告や相談の窓口を設置し、情報漏洩、コンプライアンス違反専用の問題対処の役割を担える体制を整えます。
そのほか研修の実施、マニュアルの作成、労務管理ルールの作成なども、この部門が中心となって行うと良いと言えます。社内だけで専門窓口を設置し、正確な返答をすることは難しいため、弁護士や社労士などの外部の専門家と共に体制を整えるのがオススメです。

まとめ

この記事ではコンプライアンスと情報漏洩の関係性、そして原因や対策まで徹底解説しました。事業継続の為には、コンプライアンス違反を徹底管理し、情報漏洩を防ぐ必要があると理解できたのではないでしょうか。プライバシーマークは、取得することで個人情報管理が徹底されていることが証明でき、信頼を得る事が出来ます。この機会にぜひプライバシーマークの取得、更新を検討してみてはいかがでしょうか。
株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク(Pマーク)教育のノウハウがございます。
教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る