経営情報の安全確保 ~足下からはじめる情報セキュリティ~

(株)中央総合研究所 
兼子 俊江

1.はじめに

  「省庁のパソコンが外部から攻撃され、情報が盗まれた。」「大手プロバイダーのIDを管理しているサーバに不正アクセスがあったことが判明」など、情報流 出の報道は後を絶ちません。インターネットの向こうからパソコンに忍び込み、密かに情報を外部に送信してしまう脅威(サイバー攻撃)は日々巧妙化してお り、心中穏やかでなくなります。対策の基本である「ウイルス対策ソフトをインストールして常に更新する」「パソコンOSを最新版に更新する」「怪しいメー ルは開かない」「怪しいWebサイトは閲覧しない」などは、社内で徹底されているでしょうか。
 「情報流出」というと、こうした今日的な脅威(サ イバー攻撃)に目が向きがちですが、個人情報漏洩の原因は、誤操作(34.8%)、管理ミス(32.0%)、紛失・置き忘れ(13.7%)、盗難 (6.6%)です(「情報セキュリティインシデントに関する調査報告」NPO日本ネットワーク協会2011年調べ)。個人情報に限らず、情報漏洩のほとん どが人的ミスに起因しています。
 多くの企業様を訪問させていただく中で、経営情報の取扱いに「危うさ」が感じられる現場にたびたび遭遇します。人的ミスを引き起こす本質的な問題は、自社に内在しているのです。


2.何が起きるか想像してみる

  E店は個人経営のエステサロンです。受付から施術室にいたる廊下の壁が棚になっていて、そこには全顧客のカルテが並んでいます。棚に扉はなく誰でも手に取 ることができます。「こんな管理をしていると、大切なお客様カルテを誰かに持ち去られてしまうかもしれませんよ。カルテにはお客様情報が記載されています から、そうなったら会社責任ですよ。」と注意しました。「カルテは御社の財産です。このように放置せず、鍵がかかる棚に入れて、受付で厳重に管理すべきで す。」とアドバイスしました。すると女性経営者は驚いた顔をして「鍵をかけて管理するのですか。」と言われました。情報を適切に管理するという意識が欠如 していたのです。
 情報は日々の業務の中で蓄積されることで、その価値を高めています。現場にとっては無意識のうちに進行していることであり、 「この情報は貴重だからこうやって扱うべき」と考えるきっかけがなかったのかもしれません。自社にとって「大切な情報は何か」を棚卸し、「その情報がさら されている脅威は何か」を想像することが、情報を適正に扱う第一歩となります。


3.管理体制は見られている

 F 婦人服専門店は、お得意様のお買い上げ情報等を販売スタッフが顧客台帳に記入しています。販促に使う大切な顧客情報です。接客をしながらの作業ですから、 レジやショーケースの上で店内の様子を伺いながら行います。お客様が来られれば、台帳を脇に寄せてレジスペースを空けます。ショーケースの上で行っていた 場合は、その場においたまま接客をはじめることになります。しかしお客様には、台帳がすぐ手の届くところにあることが分かりますし、その内容はバッチリ見 られてもいます。しかし社長は「従業員は一生懸命頑張っているのだから。」と言って注意をしません。第三者に管理が甘い体質の店だという印象を与えている ことに気づいていないのです。
 社長は自社にとって大切な顧客台帳の安全確保のために、作業は第三者の目につかないように行うことをスタッフに徹底すべきです。


4.性善説は通用しない

 Eエステサロン、F婦人服専門店とも、大切な情報は盗まれるのでははく、自ら〝見せて″危険にさらしていました。そして中小企業では、このような情報の取扱いをしている現場が多いのです。
 情報管理の主体はパソコンですが、離席している社員のパソコン画面に会社の重要な情報が表示されたままになっていることがあります。スクリーンセーバーをかけることを会社のルールにすればすむことです。
 パスワードをかけずに決算情報をメールで送信してくる経理担当者も意外と多いのです。
 パソコンが置いてあるオフィスを鍵もかけずに無人にしていることはないでしょうか。
 このような現状は、情報取扱に対する知識不足もありますが、その根底にあるのは「悪い人はいない。ウチは大丈夫」という意識の甘さです。こと情報セキュリティにおいて、性善説は通用しません。すべてを疑ってみて、はじめて有効な対応策が出てくるのです。


5.改善の積み重ねで安全を確保する

 情報が悪用されないように守り、保護することを「情報セキュリティ」といいます。はじめから完璧を目指さず、以下の流れで、できることから着手し、その改善の積み重ねで自社ならではの安全を確保されては如何でしょうか。

①自社の経営にとって守るべき情報(経営資源)は何かを知る(情報を洗い出す)
②守るべき情報がさらされている危険を想像してみる(情報を保存しているノートパソコンを紛失する危険がある等)
③察知した脅威に対して、自社でできる対策を立てる(ログオン管理で第三者がノートパソコンを使えないようにする、重要ファイルにはパスワードの設定をルール化する 等)
④対策を継続して実施して、情報セキュリティを根付かせる(社内ルールや知識を定期的な教育で従業員に周知徹底する)

  情報セキュリティは、しばしば防犯対策や交通安全対策に例えられます。危険予知、各種整備、教育、遵守です。「自社には特段、守るような情報はない。」と 言われる経営者も多くおられますが、本当にそうでしょうか。大事な経営情報は何であるかを知り、想像力を働かせて起こりうる事態が把握できれば、日々の業 務の中でそれを回避する方策は自ずと明らかになります。
 自社に内在する危機に気づくこと、それがスタートです。