本コンテンツは、お客さまがご利用のOSまたはブラウザーへ対応しておりません。
最新のOS、ブラウザーにアップデートしてください。

わかる!コンプライアンス

最近よく話題になるものの、意外と意識しづらいコンプライアンス。
基礎知識、違反を防ぐ方法などを解説します。

vol.6

「個人情報」ってどこまで?
すぐそこにある情報漏えいの原因とは。

あっ、またログインパスワードを忘れちゃった。覚えにくいものにしておくと、いつもと違うパソコンからログインするとき面倒なんだよな~
それならパスワードをわかりやすいものに変えちゃえばいいんじゃないですか?
えっ、パスワードって勝手に簡単なものに変えていいの?
仕事が遅れるよりいいんじゃないですか。うちは情報管理の部署でもないですし、パスワードを突破しようとするハッカーなんていないですよ〜

個人情報保護の取り組みは、今やグローバルスタンダード

「個人情報」とは、社会に生きている私たち一人ひとりを認識する情報です。まず思い浮かぶのは、氏名、生年月日、性別、住所、電話番号ではないでしょうか。このほかにもクレジットカード番号、銀行口座番号、保険証番号、さらにE-mailアドレス、顔や指紋の認証データなども「誰であるのか」を示すなら個人情報に該当します。最近では、マイナンバーも個人情報として重視されています。

これら個人情報の保護を怠り、個々人がSNS上、週刊誌や各種新聞などにおいて悪質で意図的な誹謗(ひぼう)中傷などに利用すると、憲法で保障された国民の基本的権利であるプライバシー権の侵害にあたります。したがって、むやみにこれらを侵してはなりません。

一方、経済活動において多くの企業が個人情報を収集する中で、個人情報の漏えい事件・事故が続いています。そこで2005年4月に施行された個人情報保護法では、「個人情報を取り扱う事業者は、個人情報保護体制を構築し、自らの事業の中で個人情報の有効活用とその保護を両立させなくてはならない」と定められました。

これは経済協力開発機構(OECD)が定めた「プライバシー保護と個人データの国際流通についてのガイドライン」に基づくもので、個人情報保護の取り組みはグローバルスタンダードになっています。

意外に多い? 情報漏えいを引き起こす「うっかりミス」

個人情報の漏えいはなぜ起こるのでしょうか。NPO法人日本ネットワークセキュリティ協会によると、2018年に発生した情報漏えい件数443件のうち、紛失・置き忘れ116件(26.2%)、誤操作109件(24.6%)、管理ミス54件(12.2%)というように、なんとヒューマンエラーが60%以上を占めています。

情報漏えいの原因
(出典) NPO法人日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査報告書」より作図

情報漏えいは、サーバーに対するクラッキングなどがニュースとして話題になりますが、このように、実は人的な問題に起因するケースの方が多いのです。具体例をみてみましょう。

情報漏えいの例

情報の管理ミス
データベースにアクセスする権限を関係者に限定していなかったため、社外の人間によって顧客情報が持ち出された
パソコンなどの誤操作
外部に送信したメールに誤って個人情報を含むファイルを添付してしまった。メールの宛先に、個人情報を送ってはいけない人のアドレスが入っていたのを見落とした
情報機器、書類の紛失、置き忘れ
個人情報が入ったノートパソコンやUSBメモリ、デジタルカメラや書類を移動途中に紛失した
パソコンのウイルス感染
ウイルス付の添付ファイルをうっかり開き、パソコンがウイルスに感染。個人情報が入った重要ファイルが外部に自動的に送信されてしまった
外部からの不正アクセス
社内システムにログインするアカウントのIDとパスワードを同じものにしていたため、簡単に突破された。定期的なパスワードの変更を怠っていた。暗号化していない重要ファイルが盗まれた

※クラッキングとは、悪意を持った第三者が、コンピューターやシステムへの不正侵入、データ改ざんなどを行うこと。

個人情報を守る第一歩は、「意識と自覚」

個人情報が漏えいしたとなると、企業の責任は重大です。信頼の失墜だけでなく、訴訟、賠償金支払いへの発展など、大きな代償を払うことになるかもしれません。これを防ぐには、どうしたらよいのでしょうか。まず大きな割合を占めるヒューマンエラーの要因からみていきましょう。

ヒューマンエラーが発生する要因

  1. 守るべきルールを知らなかった → ルールを周知徹底する
  2. ルールを守るつもりだが実践できなかった → ルールを守りやすい環境を整備する
  3. はじめからルールを守るつもりがなかった → なぜルールが必要なのか考える

ヒューマンエラーへの対策は、ルールに対する意識を変えることで改善できます。ヒヤリとした段階で適切な対応ができれば、損失は最小化されます。それを繰り返すことで次第にルールが浸透していきます。大切なのは、上から言われたからといってルールを守るのではなく、「なぜルールが必要なのか」を全員がしっかり理解し、未然にリスクを感じ取る現場力です。

3. は不正と深い関係があります。「お金がほしいという欲求」「単独業務」「これくらい問題ないだろうという甘い意識」などの条件が重なると、機密情報の漏えいに手を染めるハードルが下がります。不正につながる動機・機会・正当化要因がそろう環境になっていないか、管理者は組織を構成する一人ひとりの状態をしっかり把握し、組織を健全な方向に導くことが求められます。

こうしたヒューマンエラーを排除すると同時に、外部からの脅威に備えたセキュリティを強化することも重要です。ウイルスやスパイウエア対策、不正アクセスの検知・遮断、万が一盗まれた際に重要なデータを守る暗号化、問題が発生したときの対応フローの整備など、セキュリティ対策は多岐にわたります。

しかし、個人情報を守るセキュリティのベースとなるのは、利用者の日ごろの意識、そして自覚です。特に在宅勤務、リモートワークが広がりつつある現在、パソコンの持ち帰りなどによって個人情報保護は新たな問題に直面すると考えられます。変わりゆく環境の中で「意識と自覚」を徹底することが、多くの人の大切な個人情報を守ることになります。

個人情報って、単なる人的ミスでも漏えいしてるんだ。会社用のパスワードをプライベート用と同じものにしておけば楽なんじゃ……と思ったけど、やっぱりやめた方がいいね
そうですね。情報管理の部署ではないといっても、取引先やお客さまの個人情報は僕たちのパソコンにしっかり保管されてますもんね
会社でいろいろな指定がされているのは、こういうことだったんだね

富士フイルムグループの取り組み

富士フイルムグループでは、コンプライアンスを「法律に違反しないということだけでなく、常識や倫理に照らして正しい行動をとること」と定義しています。企業活動の基本ポリシーとして「富士フイルムグループ 企業行動憲章・行動規範」を制定し、法令や社会倫理に則った活動の徹底を図るとともに、コンプライアンス宣言を通じて、事業活動においてコンプライアンスを優先することを富士フイルムグループ全従業員に周知徹底しています。

PROFILE

塚脇 吉典つかわき・よしのり
一般社団法人日本コンプライアンス推進協会理事。「コンプライアンス経営」に関する啓発や、情報セキュリティ対策(導入・運用・保守)支援、BCP対策など幅広く活動する。伊東市情報公開審査会/伊東市個人情報保護審査会委員。2018年JCPA出版より『組織は人、人の心を動かし、組織を変える56の法則』を出版、「見える化分析カード」を用いた企業リスク診断システムを発表。

記事公開:2021年4月