情報漏えいが完全に防げない理由
企業の情報漏えいを断固として防ぐために、皆様の会社でも何かと対策されているだろうと思います。しかし、昨今の情報セキュリティ業界では「情報漏えいは完全に防げない」という考え方が主流となっています。
これは単純な諦念でも、日々の対策の無力さを嘆いた考え方でもなく、情報漏えい対策における最新の姿勢を示すものです。また「情報漏えい対策をしない(してもしょうがない)」ということでは決してなく、従来の漏えい対策はでき得る限り実施した上での考え方でもあります。
なぜ「情報漏えいは完全に防げない」と言われるようになったのか……ここでクイズです。
以下のうち「情報漏えいの主な原因」とされているのは何だと思われますか?4つの中から選んでみてください。
原因[1]外部からの不正アクセス
原因[2]内部による不正行為
原因[3]外部サービスのプログラムの脆弱性よるもの
原因[4]ヒューマンエラー、人為的ミス
正解は【[4]ヒューマンエラー、人為的ミス】です。
驚くべきはその割合で、情報漏えいの実に90%近くが、この【[4]ヒューマンエラー、人為的ミス】によるものなのです。
参考までに、2020年度に起きた情報漏えい事故の内容をさらに詳しく見ていくと、事故数年間合計:2,644件のうち、
- 誤送付:1,648件
- 紛失:394件
- 関係者事務処理・作業ミス等:232件
- 口頭での漏洩:37件
- 誤廃棄:38件
- 減失・き損:8件
計:2,357件がヒューマンエラーによるもので、年間事故数の89%です。
出所:一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センター『2020年度「個人情報の取り扱いにおける事故報告集計結果」』
https://privacymark.jp/system/reference/pdf/2020JikoHoukoku_211005.pdf
それなら、「ヒューマンエラーを完全に防げばよいのでは?」と思うかもしれませんが、パソコンやスマートフォンを一人一台使えるような環境で、気軽に、便利に、インターネットで自分以外と繋がることができ、無料で使えるITサービスも多くあり、使い方も多岐にわたる……という状況にある以上、これらを完全に管理したり撲滅したりするのは、現実問題として困難というわけです。これが「情報漏えいは完全に防げない」の理由です。
情報漏えいを「防げない」からこそ取るべき対策
そして、『防げない』からこそ『もしもの時にどうするか』の対策に重きを置く必要性が新たに出てくるということになります。よって取るべき対策として、従来の『防ぐ』に加えて、
- 【情報漏えいの事実を早急に把握する】
- 【情報漏えいの被害拡大を抑制する】
が求められているのです。
弊社もこれらを念頭に置き、社内の対策班をIT・セキュリティ委員会として組織化し、情報セキュリティの強化を図っております。
例えば、前述の事故理由の最多を占める「誤送付」を防ぎ、万が一の際に被害を拡大させないよう、新しいEメールの仕組みを導入しました。
この仕組みは、添付ファイル付きメールの送信時、その添付ファイルが自動的に、安全性を担保した特定のWEBにアップロードされ、メール受信者は、添付ファイルをそのWEBから安全にダウンロードしていただく、というものです。
まとめ
情報漏えいの対策は打てば打つほど、コスト面はもちろんのこと、手間が増えたり、以前のようにストレスなくさらりといかなかったりと負担もかかってしまいます。
「わが社を守る・守りたい」という、皆様が創業から抱いてこられた想いの延長にある取り組みとして、ぜひ、前向き・積極的に進めていただけたらと願っております。
弊社も皆様のロールモデルでいられるよう、これからもセキュリティの強化を図ってまいりますので、何か策にお困りの際は、お気軽にご相談ください。
https://shikin-up.co.jp/itconsul/
