「情報漏洩の8割は内部犯行から」


弊社ホームページで公開している事故報告をご覧頂ければご理解いただけると思いますが、情報漏洩事故の8割は内部犯行によるものです。「内部」とは、正社員や派遣社員、出向社員、アルバイト、パートなどが含まれています。



新聞などで公開されている事故報告は、氷山の一角で現実には表になかなか出てこない重大な事故も発生しています。

なぜ表に出てこないのでしょうか? 内部犯行による事件は表沙汰にできないからです。

隠し通せないものがたまに表に出てきますが、その多くは無視できないほどの経済的被害を生じてしまったとか、被害を受けてしまった企業や組織が自己解決できなかったものです。


内部犯行には、意思を持って犯行に及んだものと、本人の不注意により事件になったものの2通りがあります。
意思を持った犯行が増えているのは、昔よりも今の方が、盗み出したり捏造したりするコストが低くなっていることが大きいからです。
昔は紙に書かれてコピーも高価なため厳重管理されていました。また、苦労してコピーしたブツを持ち出すのも、リスクを犯して自ら持ち出さなければならなかったし、大量のコピーを持出すことは困難でした。
しかし、今ではフロッピーやCD-R、メモリースティック、カメラ付きの携帯電話など利用すれば大量のデータを怪しまれず持出す行為におけるコストなど、ほとんど意識しないで済むまでに低下しています。
となると、目の前に放り出されている機密書類を、ちょっとサラ金の借金返済に充てるお金に替えようか、と魔が差しやすい状況にあっているのです。


実際のところ、もうすでに個人情報は立派に売り買いの材料=商品になっています。例えば、阪急交通社から漏洩した62万件の顧客データは、名簿屋に数十万円で売却されているし、大手消費者金融「シンキ」の子会社「アルコ」の幹部社員が約7000件の個人信用情報を1件1500円前後で外部に漏洩し、1000万円以上の不正な利益を得ていた事実もあります。
このように、情報漏洩を防止する環境が必要になるのである。


意思を持って計画的に犯行に及んだ情報漏洩事故(YahooBB、シンキなどの個人情報漏洩事故)の場合は 漏洩した情報数も大規模なものが一般的であり、個人のニアミス(置き忘れなどにより発生した情報漏洩事故)による事故の場合、漏洩した情報件数も少ないという特徴があります。



第三者的な興味本位の見方では、大規模な漏洩事故が発生すると大騒ぎし、小規模の事故が発生しても見向きもしない傾向にあるが、果たしてその考え方は正しいのでしょうか。
大規模な漏洩事故が発生すると、顧客からの大量の問い合わせが入り、大人数の対策室を設置しなければなりません。該当者への謝罪、記者発表、再発防止策の決定など予想を超える作業が発生するのです。もちろん会社の社会的な信用が欠落し、予算外の経費も膨大に発生します。


社員一個人のニアミスによる小規模な情報漏洩事故が発生しても、規模は異なりますが、その対応に相当な労力と経費が発生するのです。


当事者の企業では、事故の大小に関係なく、過去 社内で誰もが経験したことの無いであろう作業と、想像できない手間と労力のかかる作業が発生します。


このような、情報漏洩を防止するための最大の活動は、次の3つです。

① 漏洩できない環境を作る
② 漏洩のできないマネージメントルールを作る
③ 全社員(正社員、派遣社員、出向社員、アルバイト、パートなどオフィースで作業をする全員)の
 意識付けと啓蒙活動をおこなう


これら3つのポイントで、最も重要であり 時間のかかるものが ③全社員の意識付けと啓蒙活動です。
①②は、集中的に予算を投入し環境を作り変え、ルールを変えることで実現しますが、③については非常に労力と時間を必要とします。人間の意識はなかなか変わらないものです。

新しい環境を作り、新しいルールを作っても、必ずルールに従わない人間が現れます。情報漏洩事故の多くは、このようなルールに従わない・従えない個人から発生すのです。


「全社員の意識付けと啓蒙活動」は、すぐにでも始めることができる活動であり、漏洩事故の8割を占める内部犯行を防止するための重要なファクターなのです。


Copyright(c) Knowledge Solutions Corporation.