社内でできる情報セキュリティ対策とは？
2014/12/19   コンプライアンス, 情報セキュリティ, 不正競争防止法, 個人情報保護法, その他

　今年は大手企業から大量の個人情報が流出し、大きな注目を集めました。政府は、情報の不正取得に対する未遂行為を処罰対象とすることや罰金引き上げなどを盛り込んだ不正競争防止法改正案を来年の通常国会に提出し、2016年度にも実施する方針です。
　企業においても社内のセキュリティ対策は重要なものですので、対策としてできることを紹介します。

１．FAX、プリンタ、コピー機上の印刷物放置の防止

　これらはいずれも情報漏えいの温床になっているものです。張り紙などで注意を促すだけでなく、コピー機等のそばを通った際に放置されていないかチェックし、放置されている場合には直接社員に注意するなどの対応も必要です。特にFAXでは、相手先が明示されている場合が非常に多いです。そのため、発見した際にはすぐに出力した社員に届け厳重に注意すべきでしょう。

２．FAX・メールの誤送信の防止

　FAX・メールの誤送信は情報漏えい事故につながります。もしも職場で防止策が取られていないなら、少なくとも社員がそうした事件に巻き込まれないように注意するしかありません。例えば、テンキーで入力する時には必ず指さし確認を行う、職場の同僚に確認を依頼する、そもそもテンキーを使わずにできるだけ事前登録した短縮番号を利用するなど、ミスを低減する方法を考えておくべきでしょう。

３．机の引き出しなどに対する帰宅時の施錠

　企業の規則で施錠を義務化していない企業でも、社員自身が自分の情報は自分で守ることが求められます。これは情報管理の基本中の基本ではありますが、意外と守られていないことが多いようです。

４．コピーミスや不要になった「紙」のシュレッダーによる破棄

　資源の再利用としてメモ用紙などに使っている企業もあると思います。しかし、セキュリティ対策としては、禁止すべきです。企業によっては、例え両面に何も印刷していない場合でもシュレッダーでの破棄を義務化しているところがあるようです。一方、「内容を判断して、漏えいしても構わないものだけメモ用紙としての再利用を認める」という規則を設けている企業もありますが、こうした企業では、実際に情報漏えいが発生しているようです。個々の社員の判断に任せると思わぬミスから漏えいしてしまう危険がありますので、そのような規則は設けるべきではないでしょう。

５．辞めた人物の情報搾取を最低限にする規則などの整備

　辞める場合の情報に関する誓約書を作成する、内部で知り得た情報を公開しない、退職後でも不正が発覚した場合には退職金を返還する権利を企業が保持するなど、さまざまな規則が考えられます。こうした取り決めを疎かにして後になって後悔しないように、顧問弁護士とも相談し、自社に適した規則を策定することが最低限の「保険」となります。
　また、複数のシステムで個別に使われていた退職者のIDやパスワードなどの無効化、メールアドレスの強制転送処理などを手順として整備していない企業も少なくないようです。特に入退室カードや指紋認証などを含めた一連の作業として、退職者の権限管理に抜けがないように注意しましょう。名刺も会社の資産として重要です。退職者の名刺だけでなく退職者が今までの業務で取得した関係者の名刺も回収しましょう。名簿ファイルなどにも注意が必要です。

６．外部送信メールには、CCに上司のアドレスを付加することの徹底

　情報漏えいや内部不正の防御策として効果が大きいものの１つですが、運用規則だけではどうしても抜けが出てしまう危険性があります。そのため、多少の費用は掛かりますがシステムで防ぐ仕組みを構築することがよいでしょう。

関連サイト

• 日本の企業秘密、もう盗ませない 法改正で「漏えい防止」強化(リンク切れ)
• 企業の営業秘密の漏洩　未遂も処罰へ | 企業法務ナビ
• 国民のための情報セキュリティサイト（総務省）